Не вводится в домен Win2008

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модератор: SLEDopit

Ответить
Аватара пользователя
saikov
Сообщения: 183
ОС: Mageia

Не вводится в домен Win2008

Сообщение saikov »

Отвалился сквид. Начал разбираться. Вывел шлюз из домена. Вернуть обратно не могу. Всю голову сломал.
Самба и винбинд не стартуют.

Код: Выделить всё

mail samba # klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: saikov@GB2BEL.RU

Valid starting       Expires              Service principal
18.05.2017 12:25:57  18.05.2017 22:25:57  krbtgt/GB2BEL.RU@GB2BEL.RU
        renew until 19.05.2017 12:25:52
mail samba # cat /etc/krb5.conf
[libdefaults]
        default_realm = GB2BEL.RU
        dns_lookup_realm = false
        dns_lookup_kdc = false
        ticket_lifetime = 24h
        #default_keytab_name = /etc/krb5.keytab
        default_keytab_name = /etc/squid/PROXY.keytab

        # for Windows 2008 with AES
        default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
        default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
        permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

[realms]
        GB2BEL.RU = {
                admin_server = AD0.GB2BEL.RU
                default_domain = GB2BEL.RU
                kdc = AD0.GB2BEL.RU
        }                                                               }

[domain_realm]
        .gb2bel.ru = GB2BEL.RU
        gb2bel.ru = GB2BEL.RU
[logging]
        default = FILE:/var/log/kerberos.log
        kdc = CONSOLE
mail samba # cat /etc/samba/smb.conf
[global]
        workgroup               = GB2BEL
        #realm                  = G2BEL.RU
        server string           =
        security                = ADS
        #password server                = 172.16.5.2
        realm                   = GB2BEL.RU
        local master            = no
        domain master           = no
        preferred master        = no
        domain logons           = no
        os level                = 3
        auth methods            = winbind
        log file                = /var/log/samba/log.%m
        max log size            = 50
        socket options          = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        dns proxy               = No
        #idmap uid              = 10000-20000
        #idmap gid              = 10000-20000
        idmap config * : range  = 10000-20000
        idmap config * : backend = tdb
        #winbind separator      = +
        winbind enum users      = Yes
        winbind enum groups     = Yes
        admin users             = @gb2bel+admins
        case sensitive          = No
        winbind cache time      = 10

        syslog       = 0
        log level    = 0 winbind:6 auth:7

        lanman auth = No
        ntlm auth = No
        client ntlmv2 auth = Yes
        client lanman auth = No
        client plaintext auth = No

[web-files]
        path = /var/www/localhost/h

Код: Выделить всё

mail samba # nslookup ad1
Server:         172.16.5.2
Address:        172.16.5.2#53

Name:   ad1.gb2bel.ru
Address: 172.16.5.2

mail samba # nslookup ad0
Server:         172.16.5.2
Address:        172.16.5.2#53

Name:   ad0.gb2bel.ru
Address: 172.16.5.1
Name:   ad0.gb2bel.ru
Address: 10.46.15.2


mail samba # net ads join -U saikov
Enter saikov's password:
Failed to join domain: failed to lookup DC info for domain 'GB2BEL.RU' over rpc: NT_STATUS_CONNECTION_RESET
Спасибо сказали:
Аватара пользователя
saikov
Сообщения: 183
ОС: Mageia

Re: Не вводится в домен Win2008

Сообщение saikov »

Беда. С утра бьюсь и не могу сделать. Больничка вся без инета ((
Спасибо сказали:
Аватара пользователя
ieleja
Сообщения: 307
ОС: Debian 9, macOS, Windows
Контактная информация:

Re: Не вводится в домен Win2008

Сообщение ieleja »

а это не случилось после того как на Windows Server боролись с 'WannaCry'?

https://community.arubanetworks.com/t5/Secu...ain/td-p/296458
ad infinitum
Спасибо сказали:
Аватара пользователя
saikov
Сообщения: 183
ОС: Mageia

Re: Не вводится в домен Win2008

Сообщение saikov »

ieleja писал(а):
18.05.2017 15:39
а это не случилось после того как на Windows Server боролись с 'WannaCry'?

https://community.arubanetworks.com/t5/Secu...ain/td-p/296458

Да. Именно так. И какое решение?
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Не вводится в домен Win2008

Сообщение Bizdelnick »

Очевидно же: накатить на винду обновления, если ещё этого не сделали, и включить SMBv1 обратно.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
saikov
Сообщения: 183
ОС: Mageia

Re: Не вводится в домен Win2008

Сообщение saikov »

Bizdelnick писал(а):
18.05.2017 18:33
Очевидно же: накатить на винду обновления, если ещё этого не сделали, и включить SMBv1 обратно.

Обновления все стоят. SMBv1 включил по инструкции https://support.microsoft.com/ru-ru/help/26...ows-server-2012

Не помогло. Ничего не изменилось. В /etc/resolv.conf пробовал первым ставить и AD0 и AD1

Код: Выделить всё

mail ~ # net ads join -U saikov
Enter saikov's password:
Failed to join domain: failed to lookup DC info for domain 'GB2BEL.RU' over rpc: NT_STATUS_CONNECTION_RESET
Спасибо сказали:
Аватара пользователя
saikov
Сообщения: 183
ОС: Mageia

Re: Не вводится в домен Win2008

Сообщение saikov »


Спасибо. Я это видел, но хочу понять каого **** я не могу ввести в домен сервер?
Спасибо сказали:
Аватара пользователя
ieleja
Сообщения: 307
ОС: Debian 9, macOS, Windows
Контактная информация:

Re: Не вводится в домен Win2008

Сообщение ieleja »

посмотреть что в Windows Server EventLog

запустить вашу команду с большим Log Level:

net ads join -U Saikov -d 1
ad infinitum
Спасибо сказали:
Аватара пользователя
saikov
Сообщения: 183
ОС: Mageia

Re: Не вводится в домен Win2008

Сообщение saikov »

ieleja писал(а):
18.05.2017 19:36
посмотреть что в Windows Server EventLog

запустить вашу команду с большим Log Level:

net ads join -U Saikov -d 1



Код: Выделить всё

mail ~ # net ads join -U Saikov -d 1
Enter Saikov's password:
libnet_Join:
    libnet_JoinCtx: struct libnet_JoinCtx
        in: struct libnet_JoinCtx
            dc_name                  : NULL
            machine_name             : 'MAIL'
            domain_name              : *
                domain_name              : 'GB2BEL.RU'
            account_ou               : NULL
            admin_account            : 'Saikov'
            machine_password         : NULL
            join_flags               : 0x00000023 (35)
                   0: WKSSVC_JOIN_FLAGS_IGNORE_UNSUPPORTED_FLAGS
                   0: WKSSVC_JOIN_FLAGS_JOIN_WITH_NEW_NAME
                   0: WKSSVC_JOIN_FLAGS_JOIN_DC_ACCOUNT
                   0: WKSSVC_JOIN_FLAGS_DEFER_SPN
                   0: WKSSVC_JOIN_FLAGS_MACHINE_PWD_PASSED
                   0: WKSSVC_JOIN_FLAGS_JOIN_UNSECURE
                   1: WKSSVC_JOIN_FLAGS_DOMAIN_JOIN_IF_JOINED
                   0: WKSSVC_JOIN_FLAGS_WIN9X_UPGRADE
                   0: WKSSVC_JOIN_FLAGS_ACCOUNT_DELETE
                   1: WKSSVC_JOIN_FLAGS_ACCOUNT_CREATE
                   1: WKSSVC_JOIN_FLAGS_JOIN_TYPE
            os_version               : NULL
            os_name                  : NULL
            create_upn               : 0x00 (0)
            upn                      : NULL
            modify_config            : 0x00 (0)
            ads                      : NULL
            debug                    : 0x01 (1)
            use_kerberos             : 0x00 (0)
            secure_channel_type      : SEC_CHAN_WKSTA (2)
failed negprot: NT_STATUS_CONNECTION_RESET
libnet_Join:
    libnet_JoinCtx: struct libnet_JoinCtx
        out: struct libnet_JoinCtx
            account_name             : NULL
            netbios_domain_name      : NULL
            dns_domain_name          : NULL
            forest_name              : NULL
            dn                       : NULL
            domain_sid               : NULL
                domain_sid               : (NULL SID)
            modified_config          : 0x00 (0)
            error_string             : 'failed to lookup DC info for domain 'GB2BEL.RU' over rpc: NT_STATUS_CONNECTION_RESET'
            domain_is_ad             : 0x00 (0)
            result                   : WERR_NETNAME_DELETED
Failed to join domain: failed to lookup DC info for domain 'GB2BEL.RU' over rpc: NT_STATUS_CONNECTION_RESET
Спасибо сказали:
Аватара пользователя
saikov
Сообщения: 183
ОС: Mageia

Re: Не вводится в домен Win2008

Сообщение saikov »

В логах винсервера (и а первом и втором AD0, AD1) не вижу ничего страшного (так мне кажется) - я больше линуксовый админ. А в виндовсе черт ногу сломит.

Кстати net ads info отрабатывает без проблем

Код: Выделить всё

mail ~ # net ads info
LDAP server: 172.16.5.1
LDAP server name: ad0.gb2bel.ru
Realm: GB2BEL.RU
Bind Path: dc=GB2BEL,dc=RU
LDAP port: 389
Server time: Чт, 18 май 2017 20:21:07 MSK
KDC server: 172.16.5.1
Server time offset: 0
Спасибо сказали:
Аватара пользователя
ieleja
Сообщения: 307
ОС: Debian 9, macOS, Windows
Контактная информация:

Re: Не вводится в домен Win2008

Сообщение ieleja »

а сколько сейчас время у вас?
ad infinitum
Спасибо сказали:
Аватара пользователя
saikov
Сообщения: 183
ОС: Mageia

Re: Не вводится в домен Win2008

Сообщение saikov »

ieleja писал(а):
18.05.2017 20:23
а сколько сейчас время у вас?

Половина девятого
Спасибо сказали:
Аватара пользователя
saikov
Сообщения: 183
ОС: Mageia

Re: Не вводится в домен Win2008

Сообщение saikov »

Тему можно закрывать. Сказалась моя невнимательность. Включил SMBv1 и SMBv2

Код: Выделить всё

    Чтобы включить протокол SMB версии 1 на SMB-сервере, выполните следующий командлет:
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

    Чтобы включить протоколы SMB версии 2 и 3 на SMB-сервере, выполните следующий командлет:
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force


Вот только с этим вирусом страшно. Дырка огроменная. Попробую SMBv1 отключить. Странно что небыло в реестре записи про SMBv2.
Спасибо сказали:
Аватара пользователя
saikov
Сообщения: 183
ОС: Mageia

Re: Не вводится в домен Win2008

Сообщение saikov »

Мда... winbind походу без SMBv1 жить не может (( Надо полностью на kerberos переходить
Спасибо сказали:
Аватара пользователя
saikov
Сообщения: 183
ОС: Mageia

Re: Не вводится в домен Win2008

Сообщение saikov »

Что то у меня опять та же фигня. Сервер не видет домен. На контроллерах (ad0, ad1) проверил что включен SMB1.
wbinfo с любым ключом долго отрабатывает и страшно тормозит. Отрабатывает с ошибкой.
Куда можно капнуть?
Спасибо сказали:
Аватара пользователя
saikov
Сообщения: 183
ОС: Mageia

Re: Не вводится в домен Win2008

Сообщение saikov »

Причем тормозит вся система. Набираю для примера eix-sync - так он думает пару минут и только потом отрабатывает. По htop нагрузни нет совсем
Спасибо сказали:
Ответить