Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.
Модератор: SLEDopit
saikov
Сообщения: 183
ОС: Mageia
Сообщение
saikov » 18.05.2017 13:05
Отвалился сквид. Начал разбираться. Вывел шлюз из домена. Вернуть обратно не могу. Всю голову сломал.
Самба и винбинд не стартуют.
Код: Выделить всё
mail samba # klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: saikov@GB2BEL.RU
Valid starting Expires Service principal
18.05.2017 12:25:57 18.05.2017 22:25:57 krbtgt/GB2BEL.RU@GB2BEL.RU
renew until 19.05.2017 12:25:52
mail samba # cat /etc/krb5.conf
[libdefaults]
default_realm = GB2BEL.RU
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
#default_keytab_name = /etc/krb5.keytab
default_keytab_name = /etc/squid/PROXY.keytab
# for Windows 2008 with AES
default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
[realms]
GB2BEL.RU = {
admin_server = AD0.GB2BEL.RU
default_domain = GB2BEL.RU
kdc = AD0.GB2BEL.RU
} }
[domain_realm]
.gb2bel.ru = GB2BEL.RU
gb2bel.ru = GB2BEL.RU
[logging]
default = FILE:/var/log/kerberos.log
kdc = CONSOLE
mail samba # cat /etc/samba/smb.conf
[global]
workgroup = GB2BEL
#realm = G2BEL.RU
server string =
security = ADS
#password server = 172.16.5.2
realm = GB2BEL.RU
local master = no
domain master = no
preferred master = no
domain logons = no
os level = 3
auth methods = winbind
log file = /var/log/samba/log.%m
max log size = 50
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
dns proxy = No
#idmap uid = 10000-20000
#idmap gid = 10000-20000
idmap config * : range = 10000-20000
idmap config * : backend = tdb
#winbind separator = +
winbind enum users = Yes
winbind enum groups = Yes
admin users = @gb2bel+admins
case sensitive = No
winbind cache time = 10
syslog = 0
log level = 0 winbind:6 auth:7
lanman auth = No
ntlm auth = No
client ntlmv2 auth = Yes
client lanman auth = No
client plaintext auth = No
[web-files]
path = /var/www/localhost/h
Код: Выделить всё
mail samba # nslookup ad1
Server: 172.16.5.2
Address: 172.16.5.2#53
Name: ad1.gb2bel.ru
Address: 172.16.5.2
mail samba # nslookup ad0
Server: 172.16.5.2
Address: 172.16.5.2#53
Name: ad0.gb2bel.ru
Address: 172.16.5.1
Name: ad0.gb2bel.ru
Address: 10.46.15.2
mail samba # net ads join -U saikov
Enter saikov's password:
Failed to join domain: failed to lookup DC info for domain 'GB2BEL.RU' over rpc: NT_STATUS_CONNECTION_RESET
saikov
Сообщения: 183
ОС: Mageia
Сообщение
saikov » 18.05.2017 14:48
Беда. С утра бьюсь и не могу сделать. Больничка вся без инета ((
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux
Сообщение
Bizdelnick » 18.05.2017 18:33
Очевидно же: накатить на винду обновления, если ещё этого не сделали, и включить SMBv1 обратно.
Пишите правильно:
в консоли
вк у́пе (с чем-либо)
в о бщем
воо бще в течение (часа)
новичо к
ню анс
по у молчанию приемле мо
проблем а
пробо вать
траф ик
saikov
Сообщения: 183
ОС: Mageia
Сообщение
saikov » 18.05.2017 18:49
Bizdelnick писал(а): ↑ 18.05.2017 18:33
Очевидно же: накатить на винду обновления, если ещё этого не сделали, и включить SMBv1 обратно.
Обновления все стоят. SMBv1 включил по инструкции
https://support.microsoft.com/ru-ru/help/26...ows-server-2012
Не помогло. Ничего не изменилось. В /etc/resolv.conf пробовал первым ставить и AD0 и AD1
Код: Выделить всё
mail ~ # net ads join -U saikov
Enter saikov's password:
Failed to join domain: failed to lookup DC info for domain 'GB2BEL.RU' over rpc: NT_STATUS_CONNECTION_RESET
ieleja
Сообщения: 307
ОС: Debian 9, macOS, Windows
Контактная информация:
Сообщение
ieleja » 18.05.2017 18:54
ad infinitum
saikov
Сообщения: 183
ОС: Mageia
Сообщение
saikov » 18.05.2017 19:07
Спасибо. Я это видел, но хочу понять каого **** я не могу ввести в домен сервер?
ieleja
Сообщения: 307
ОС: Debian 9, macOS, Windows
Контактная информация:
Сообщение
ieleja » 18.05.2017 19:36
посмотреть что в Windows Server EventLog
запустить вашу команду с большим Log Level:
net ads join -U Saikov -d 1
ad infinitum
saikov
Сообщения: 183
ОС: Mageia
Сообщение
saikov » 18.05.2017 19:39
ieleja писал(а): ↑ 18.05.2017 19:36
посмотреть что в Windows Server EventLog
запустить вашу команду с большим Log Level:
net ads join -U Saikov -d 1
Код: Выделить всё
mail ~ # net ads join -U Saikov -d 1
Enter Saikov's password:
libnet_Join:
libnet_JoinCtx: struct libnet_JoinCtx
in: struct libnet_JoinCtx
dc_name : NULL
machine_name : 'MAIL'
domain_name : *
domain_name : 'GB2BEL.RU'
account_ou : NULL
admin_account : 'Saikov'
machine_password : NULL
join_flags : 0x00000023 (35)
0: WKSSVC_JOIN_FLAGS_IGNORE_UNSUPPORTED_FLAGS
0: WKSSVC_JOIN_FLAGS_JOIN_WITH_NEW_NAME
0: WKSSVC_JOIN_FLAGS_JOIN_DC_ACCOUNT
0: WKSSVC_JOIN_FLAGS_DEFER_SPN
0: WKSSVC_JOIN_FLAGS_MACHINE_PWD_PASSED
0: WKSSVC_JOIN_FLAGS_JOIN_UNSECURE
1: WKSSVC_JOIN_FLAGS_DOMAIN_JOIN_IF_JOINED
0: WKSSVC_JOIN_FLAGS_WIN9X_UPGRADE
0: WKSSVC_JOIN_FLAGS_ACCOUNT_DELETE
1: WKSSVC_JOIN_FLAGS_ACCOUNT_CREATE
1: WKSSVC_JOIN_FLAGS_JOIN_TYPE
os_version : NULL
os_name : NULL
create_upn : 0x00 (0)
upn : NULL
modify_config : 0x00 (0)
ads : NULL
debug : 0x01 (1)
use_kerberos : 0x00 (0)
secure_channel_type : SEC_CHAN_WKSTA (2)
failed negprot: NT_STATUS_CONNECTION_RESET
libnet_Join:
libnet_JoinCtx: struct libnet_JoinCtx
out: struct libnet_JoinCtx
account_name : NULL
netbios_domain_name : NULL
dns_domain_name : NULL
forest_name : NULL
dn : NULL
domain_sid : NULL
domain_sid : (NULL SID)
modified_config : 0x00 (0)
error_string : 'failed to lookup DC info for domain 'GB2BEL.RU' over rpc: NT_STATUS_CONNECTION_RESET'
domain_is_ad : 0x00 (0)
result : WERR_NETNAME_DELETED
Failed to join domain: failed to lookup DC info for domain 'GB2BEL.RU' over rpc: NT_STATUS_CONNECTION_RESET
saikov
Сообщения: 183
ОС: Mageia
Сообщение
saikov » 18.05.2017 20:19
В логах винсервера (и а первом и втором AD0, AD1) не вижу ничего страшного (так мне кажется) - я больше линуксовый админ. А в виндовсе черт ногу сломит.
Кстати net ads info отрабатывает без проблем
Код: Выделить всё
mail ~ # net ads info
LDAP server: 172.16.5.1
LDAP server name: ad0.gb2bel.ru
Realm: GB2BEL.RU
Bind Path: dc=GB2BEL,dc=RU
LDAP port: 389
Server time: Чт, 18 май 2017 20:21:07 MSK
KDC server: 172.16.5.1
Server time offset: 0
ieleja
Сообщения: 307
ОС: Debian 9, macOS, Windows
Контактная информация:
Сообщение
ieleja » 18.05.2017 20:23
а сколько сейчас время у вас?
ad infinitum
saikov
Сообщения: 183
ОС: Mageia
Сообщение
saikov » 18.05.2017 21:25
Тему можно закрывать. Сказалась моя невнимательность. Включил SMBv1 и SMBv2
Код: Выделить всё
Чтобы включить протокол SMB версии 1 на SMB-сервере, выполните следующий командлет:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force
Чтобы включить протоколы SMB версии 2 и 3 на SMB-сервере, выполните следующий командлет:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force
Вот только с этим вирусом страшно. Дырка огроменная. Попробую SMBv1 отключить. Странно что небыло в реестре записи про SMBv2.
saikov
Сообщения: 183
ОС: Mageia
Сообщение
saikov » 18.05.2017 21:42
Мда... winbind походу без SMBv1 жить не может (( Надо полностью на kerberos переходить
saikov
Сообщения: 183
ОС: Mageia
Сообщение
saikov » 14.06.2017 15:18
Что то у меня опять та же фигня. Сервер не видет домен. На контроллерах (ad0, ad1) проверил что включен SMB1.
wbinfo с любым ключом долго отрабатывает и страшно тормозит. Отрабатывает с ошибкой.
Куда можно капнуть?
saikov
Сообщения: 183
ОС: Mageia
Сообщение
saikov » 14.06.2017 15:41
Причем тормозит вся система. Набираю для примера eix-sync - так он думает пару минут и только потом отрабатывает. По htop нагрузни нет совсем