Невозможно присоединиться к новой Samba Active Directory с Windows 11 и Linux.

У меня есть сеть с сервером Active Directory на Windows Server 2003 и компьютерами на Windows 11. Мой план – заменить Windows Server 2003 на Fedora Linux Server Edition – fedora 40. Я мог бы протестировать это с клиентами Windows 11 и одним клиентом Fedora Linux 40.

Старое пространство имен – SONCANALS. Новое пространство имен – SCNG.

Я следовал руководству Fedora Magazine.

Конфигурации

• IP-адрес сервера 10.216.1.16, а домен scng.educaib

• Имя хоста сервера l1.scng.educaib

• samba.conf:

  cat /etc/samba/smb.conf
  # Общие параметры
  [global]
          dns forwarder = 1.1.1.1
          netbios name = L1
          realm = SCNG.EDUCAIB
          server role = active directory domain controller
          workgroup = SCNG
          idmap_ldb:use rfc2307 = yes
          ldap server require strong auth = no 
  
  [sysvol]
          path = /var/lib/samba/sysvol
          read only = No
  
  [netlogon]
          path = /var/lib/samba/sysvol/scng/scripts
          read only = No
  

• Настройка Kerberos:

  # cat /etc/krb5.conf.d/samba-dc 
  [libdefaults]
          default_realm = SCNG.EDUCAIB
          dns_lookup_realm = false
          dns_lookup_kdc = true
  
  [realms]
  SCNG.EDUCAIB = {
          default_domain = SCNG
  }
  
  [domain_realm]
          l1.scng.educaib = SCNG.EDUCAIB
  

• /etc/systemd/resolved.conf.d/custom.conf:

  [Resolve]
  DNSStubListener=no
  Domains=scng.educaib
  DNS=10.216.1.16
  

У меня есть одна машина с Fedora 40, которую я использую для тестирования samba. Когда я тестирую, все в порядке (раздел “Тестирование” в руководстве по обучению). Когда я запускаю realm discover, я получаю только старое пространство имен, а не новое:

realm discover -v
 * Разрешение: _ldap._tcp.soncanals
 * Выполнение поиска LDAP DSE на: 10.216.1.2
 * Выполнение поиска LDAP DSE на: 10.216.1.10
 * Выполнение поиска LDAP DSE на: 10.216.1.4
 * Успешно обнаружено: soncanals
soncanals
  тип: kerberos
  имя области: SONCANALS
  имя домена: soncanals
  сконфигурирован: нет
  программное обеспечение сервера: active-directory
  программное обеспечение клиента: sssd
  нужный пакет: sssd-common
  нужный пакет: oddjob
  нужный пакет: oddjob-mkhomedir
  нужный пакет: sssd-ad
  нужный пакет: adcli
  нужный пакет: samba-common-tools

В Windows, когда я пытаюсь присоединиться к SCNG, мне предлагается ввести логин администратора, но когда я вводлю учетные данные, это занимает слишком много времени, и окно закрывается.

Как я могу провести сортировку проблемы здесь? Например, какие журналы я могу просмотреть (у меня много в /var/log/samba/)? Моя версия samba 4.20.5.

Мой приоритет – присоединиться к новому домену и войти в Windows как обычный пользователь в этом домене. Я временно отказываюсь от общего доступа к директориям.

Редактировать (2024-11-11): Тесты в руководстве Fedora Magazine выполнены успешно:

Тестирование

Тест подключения

$ smbclient -L localhost -N
Анонимный вход успешен

        Имя общего доступа       Тип      Комментарий
        ---------       ----      -------
        sysvol          Диск      
        netlogon        Диск      
        IPC$            IPC       IPC-сервис (Samba 4.21.1)
SMB1 отключен - рабочая группа недоступна

$ smbclient //localhost/netlogon -UAdministrator -c 'ls'
Пароль для [SCNG\Administrator]:
  .                                   D        0  Чт Окт 31 10:17:05 2024
  ..                                  D        0  Чт Окт 31 10:17:05 2024

                15663104 блоков размера 1024. 12979380 блоков доступно

Тест DNS

$ host -t SRV _ldap._tcp.scng.educaib.
_ldap._tcp.scng.educaib имеет SRV запись 0 100 389 l1.scng.educaib.
$ host -t SRV _kerberos._udp.scng.educaib.
_kerberos._udp.scng.educaib имеет SRV запись 0 100 88 l1.scng.educaib.
$ host -t A l1.scng.educaib.
l1.scng.educaib имеет адрес 10.216.1.16

Тест Kerberos

$  kinit administrator
Пароль для [email protected]: 
ladmin@l1:~$ klist
Кэш билетов: KCM:1000
Основной принцип: [email protected]

Действительный старт     Истекает            Сервисный принципал
11/11/24 10:15:10  11/11/24 20:15:10  krbtgt/[email protected]
        возможность обновления до 18/11/24 10:15:06

Вам почти определенно нужно добавить DNS-записи для вашего нового домена. В журнале Fedora Magazine есть подзаголовки “Тест DNS”, которые показывают, как узнать, сделали ли вы это правильно.