Контроллер домена Samba Active Directory не удается запустить с ошибкой 22.

Вопрос или проблема

У меня проблемы с настройкой контроллера домена Active Directory (AD DC) Samba в гибридной среде с контроллером домена Windows.

Ниже приведены детали настройки, наблюдения и проблемы:


Информация о настройке:

  1. Версия Samba: 4.20.2

  2. Операционная система: Rocky Linux 9.5

  3. Роль сервера: Контроллер домена Active Directory (для интеграции с контроллером домена на базе Windows)

  4. Данные контроллера домена Windows:

    • Имя хоста основного контроллера домена: WIN-GTM1AT6IFMJ
    • DNS-домен: gbpuat.ac.in
    • IP-адрес основного контроллера домена: 10.7.3.20
  5. Текущая конфигурация Samba (/usr/local/samba/etc/smb.conf):

    [global]
    dns forwarder = 10.7.3.20  # IP DNS-сервера контроллера домена Windows
    log file = /var/log/samba/log.%m
    max log size = 50
    realm = GBPUAT.AC.IN
    security = ADS
    server role = active directory domain controller
    workgroup = SAMBA
    
    [netlogon]
    path = /usr/local/samba/var/locks/sysvol/gbpuat.ac.in/scripts
    read only = No
    
    [sysvol]
    path = /usr/local/samba/var/locks/sysvol
    read only = No
    
  6. Конфигурация сети:

    • Имя хоста: ecedc1
    • Полное доменное имя (FQDN): ecedc1.gbpuat.ac.in
    • Статический IP-адрес: 10.7.3.30
    • DNS переадресатор: 10.7.3.20 (контроллер домена Windows)

Симптомы:

  • Служба samba-ad-dc.service не запускается с следующей ошибкой:
exit_daemon: daemon failed to start: 
Samba detected misconfigured 
'server role' and exited. 
Check logs for details, 
error code 22.
  • Использование команд samba-tool, таких как domain info или drs showrepl, возвращает:
ERROR: Invalid IP address 'localhost' or '10.7.3.30'
  • Попытка проверить службы с помощью smbclient на контроллере домена Windows корректно разрешает общие ресурсы, но выводит:
SMB1 disabled -- no workgroup available

Соответствующие журналы и снимки:

  • Приложенные снимки содержат:
    1. Конфигурация файла smb.conf.
    2. Разрешение DNS с помощью nslookup.
    3. Информация о контроллере домена Windows с использованием PowerShell (Get-ADObject).
    4. Журналы службы Samba (journalctl -xe).
    5. Снимок ошибки выхода службы.

Принятые меры:

  1. Проверена конфигурация файла smb.conf (включено выше).
  2. Проверена настройка имени хоста и полного доменного имени:
    • Имя хоста: ecedc1
    • Полное доменное имя разрешено как ecedc1.gbpuat.ac.in с помощью nslookup.
  3. Проверены и обновлены разрешения для каталогов, специфичных для Samba:
    • /usr/local/samba/private/msg.sock
    • Обеспечено правильное владение для /usr/local/samba/var/locks.
  4. Подтверждено соединение с контроллером домена Windows (общие ресурсы корректно разрешаются с помощью smbclient).

Вопросы:

  1. Корректна ли конфигурация DNS форвардера в smb.conf? Должна ли она явно указывать на DNS контроллера домена Windows или требуются дополнительные настройки для правильной интеграции?

  2. Что может быть причиной неправильной конфигурации server role? Может ли это быть связано с проблемой гибридной интеграции с существующим контроллером домена Windows?

  3. Существуют ли известные проблемы с совместимостью Samba 4.20.2 в данной настройке или конкретные шаги по отладке, которые я мог упустить?

Я приложил журналы, снимки и конфигурационные файлы для дополнительного контекста. Любые советы, рекомендации или аналогичный опыт будут очень признательны!

изображение

Ответ или решение

Ошибка запуска контроллера домена Active Directory на базе Samba с кодом 22 может быть результатом нескольких причин, которые могут быть связаны с некорректной конфигурацией или несовместимостью в гибридной среде. Давайте рассмотрим основные теоретические аспекты и практические рекомендации в вашем случае.

Теоретическая часть

Сначала стоит понять, как работает Samba в роли контроллера домена Active Directory (AD DC). Это программное обеспечение позволяет интегрироваться в Windows-среду и выполнять функции домена, такие как управление пользователями, группами и политиками. При этом конфигурация и совместимость с существующими Windows-контроллерами являются критическими факторами для успешной интеграции.

Код ошибки 22 указывает на проблему с конфигурацией или несовместимостью параметров, что мешает корректной работе службы. В данном случае, согласно журналу ошибок, проблема может заключаться в некорректной настройке параметра server role.

Примеры и основные аспекты

  1. DNS конфигурация: Необходимость правильной настройки DNS системы крайне важна. В вашем случае конфигурация DNS forwarder в файле smb.conf выглядит корректно, так как он указывает на DNS-сервер главного контроллера Windows. Но стоит убедиться, что DNS-сообщения действительно правильно перенаправляются и разрешаются.

  2. Конфигурация сервера: Ошибка может быть связана с несоответствием между конфигурацией Samba и существующей структурой Windows DC. Убедитесь, что параметр realm и доменное имя совпадают с теми, которые используются на Windows DC.

  3. Интеграция и совместимость: Версия Samba 4.20.2 должна быть общей для всех контроллеров домена во избежание проблем совместимости, особенно если в домене уже используется более новая версия Active Directory на Windows DC.

Применение на практике

  1. Проверка smb.conf: Убедитесь, что все необходимые параметры указаны правильно. Вам следует особенно проверить параметры realm, server role и workgroup, чтобы они точно соответствовали настройкам Active Directory в вашей среде.

  2. Верификация DNS: Убедитесь, что Samba может правильно разрешать доменные имена, в частности, сам себя и Windows DC. Используйте утилиту nslookup для проверки всех DNS-запросов и убедитесь, что они возвращают корректные результаты.

  3. Проверка сети: Проверьте сетевую доступность между Samba и Windows DC. SSH на соответствующий сервер может помочь убедиться, что между ними нет брандмауэров или сетевых проблем, которые ограничивают связь.

  4. Журналы и отладка: Изучите журналы Samba, в частности, journalctl -xe, на наличие дополнительных указаний, которые могут пролить свет на специфические ошибки. Убедитесь, что у вас есть необходимые привилегии для доступа ко всем важным директориям и файлам.

  5. Совместимость и обновление: Поскольку могут быть несовместимости между версиями, стоит убедиться, что используемая версия Samba может корректно работать с вашей версией Windows DC. Возможно, потребуется обновление до более новой версии Samba или даже перенос службы на более подходящий сервер.

  6. Диагностика инструментами Samba: Используйте инструменты, такие как samba-tool и smbclient, для дополнительной диагностики. Например, команда samba-tool drs showrepl может помочь вам проверить репликацию между контроллерами домена.

Заключение

Ваш случай иллюстрирует многие аспекты, которые следует учесть при интеграции контроллера домена на базе Samba в существующую Windows-инфраструктуру. Важна не только правильная конфигурация и диагностика сетевой среды, но и учет версионной совместимости. Рассмотрите возможность поэтапного устранения проблем, уделяя внимание каждому элементу конфигурации и взаимодействия между узлами. Это обеспечит более плавное развертывание и стабильную работу вашего доменного контроллера.

Оцените материал
Добавить комментарий

Капча загружается...