- Вопрос или проблема
- Конфигурации
- Тестирование
- Тест подключения
- DNS Тест
- Тест Kerberos
- Ответ или решение
- Подробная инструкция по решению проблемы с присоединением Windows 11 к Samba Active Directory
- 1. Проверка конфигурации DNS
- 2. Проверка конфигурации Samba и Kerberos
- 3. Тестирование сетевого соединения
- 4. Диагностика подключения из Windows 11
- 5. Поддержка и документация
- Заключение
Вопрос или проблема
У меня есть сеть с компьютерами на Windows 11 и Active Directory на Windows Server 2003. Мой план заключается в том, чтобы заменить Windows Server 2003 на Fedora Linux Server Edition – Fedora 40.
Старое пространство имен – SONCANALS. Новое пространство имен – SCNG.
Я следовал руководству Fedora Magazine.
Конфигурации
-
IP-адрес сервера –
10.216.1.16, а домен –scng.educaib -
Имя хоста сервера –
l1.scng.educaib -
samba.conf:cat /etc/samba/smb.conf # Глобальные параметры [global] dns forwarder = 1.1.1.1 netbios name = L1 realm = SCNG.EDUCAIB server role = active directory domain controller workgroup = SCNG idmap_ldb:use rfc2307 = yes ldap server require strong auth = no [sysvol] path = /var/lib/samba/sysvol read only = No [netlogon] path = /var/lib/samba/sysvol/scng/scripts read only = No -
Конфигурация Kerberos:
# cat /etc/krb5.conf.d/samba-dc [libdefaults] default_realm = SCNG.EDUCAIB dns_lookup_realm = false dns_lookup_kdc = true [realms] SCNG.EDUCAIB = { default_domain = SCNG } [domain_realm] l1.scng.educaib = SCNG.EDUCAIB -
/etc/systemd/resolved.conf.d/custom.conf:[Resolve]
DNSStubListener=no
Domains=scng.educaib
DNS=10.216.1.16
У меня есть одна машина с Fedora 40, которую я использую для тестирования Samba. Когда я тестирую, все в порядке (раздел “Тестирование” в учебном руководстве). Когда я запускаю realm discover, я получаю только старое пространство имен, а не новое:
realm discover -v
* Разрешение: _ldap._tcp.soncanals
* Выполнение поиска LDAP DSE на: 10.216.1.2
* Выполнение поиска LDAP DSE на: 10.216.1.10
* Выполнение поиска LDAP DSE на: 10.216.1.4
* Успешно обнаружено: soncanals
soncanals
тип: kerberos
имя-реалма: SONCANALS
имя-домена: soncanals
настроено: нет
программное обеспечение сервера: active-directory
программное обеспечение клиента: sssd
требуемый пакет: sssd-common
требуемый пакет: oddjob
требуемый пакет: oddjob-mkhomedir
требуемый пакет: sssd-ad
требуемый пакет: adcli
требуемый пакет: samba-common-tools
В Windows, когда я пытаюсь подключиться к SCNG, мне предлагают ввести учетные данные администратора, но когда я ввожу данные, это занимает слишком много времени, и диалог закрывается.
Как я могу диагностировать проблему? Например, какие логи я могу посмотреть (у меня много в /var/log/samba/). Моя версия Samba – 4.20.5.
Мой приоритет – присоединиться к новому домену и войти в Windows как обычный пользователь в этом домене. На данный момент я отказываюсь от совместного использования каталогов.
Редактировать (2024-11-11): Тесты в руководстве Fedora Magazine завершились успешно:
Тестирование
Тест подключения
$ smbclient -L localhost -N
Анонимный вход успешен
Имя общего ресурса Тип Комментарий
--------- ---- -------
sysvol Диск
netlogon Диск
IPC$ IPC IPC Service (Samba 4.21.1)
SMB1 отключен -- рабочая группа не доступна
$ smbclient //localhost/netlogon -UAdministrator -c 'ls'
Пароль для [SCNG\Administrator]:
. D 0 Чт Окт 31 10:17:05 2024
.. D 0 Чт Окт 31 10:17:05 2024
15663104 блоков размером 1024. 12979380 блоков доступны
DNS Тест
$ host -t SRV _ldap._tcp.scng.educaib.
_ldap._tcp.scng.educaib имеет SRV запись 0 100 389 l1.scng.educaib.
$ host -t SRV _kerberos._udp.scng.educaib.
_kerberos._udp.scng.educaib имеет SRV запись 0 100 88 l1.scng.educaib.
$ host -t A l1.scng.educaib.
l1.scng.educaib имеет адрес 10.216.1.16
Тест Kerberos
$ kinit administrator
Пароль для [email protected]:
ladmin@l1:~$ klist
Кэш билетов: KCM:1000
Основной принципал: [email protected]
Срок действия, начиная с Срок действия Принципал службы
11/11/24 10:15:10 11/11/24 20:15:10 krbtgt/[email protected]
обновить до 18/11/24 10:15:06
Вам почти определенно необходимо добавить DNS-записи для вашего нового домена. В журнале Fedora есть подзаголовки “Тест DNS”, которые показывают, как узнать, сделали ли вы это правильно.
Ответ или решение
Подробная инструкция по решению проблемы с присоединением Windows 11 к Samba Active Directory
Присоединение компьютеров с Windows 11 к новой Samba Active Directory на основе Fedora может представлять значительные сложности. В вашем случае, проблемы могут быть связаны с конфигурацией DNS, правильной настройкой Samba и Kerberos, или особенностями сетевого окружения. В этом ответе мы постараемся тщательно проанализировать вашу ситуацию и предложить оптимальные шаги для исправления.
1. Проверка конфигурации DNS
Первая и важнейшая проблема, которую следует рассмотреть, — конфигурация DNS. Вы упомянули, что команда realm discover возвращает только старый домен SONCANALS, что может указывать на недостаточную поддержку DNS для нового домена SCNG. Убедитесь, что DNS-записи для вашего нового домена правильно сконфигурированы.
- Проверьте, что A-записи для вашего домена существуют:
host -t A l1.scng.educaib. - Проверьте, что есть SRV-записи для Kerberos и LDAP:
host -t SRV _ldap._tcp.scng.educaib. host -t SRV _kerberos._udp.scng.educaib.
Если какие-либо записи отсутствуют, необходимо добавить их в конфигурацию вашего DNS-сервера. Мы рекомендовали бы использовать dnsmasq или встроенные средства, если вы используете DNS-сервер на Fedora.
2. Проверка конфигурации Samba и Kerberos
Ваши конфигурационные файлы Samba и Kerberos выглядят адекватно на первый взгляд, но стоит убедиться в следующих нюансах:
-
Убедитесь, что ваш
smb.confфайл действительно читается:testparm -
Проверьте наличие возможных ошибок в журнале Samba:
tail -f /var/log/samba/log.* -
Убедитесь, что вы можете получить билет Kerberos:
kinit administratorИ проверьте наличие билета:
klist
Если вы не получаете билет или вы получаете ошибки, это может указывать на проблемы с вашим конфигом Kerberos.
3. Тестирование сетевого соединения
Проверьте, что ваши Windows 11 машины могут корректно разрешить имена домена и прибыть к серверу Samba. Используйте команду nslookup или ping из командной строки на Windows для проверки доступа:
nslookup l1.scng.educaib
ping l1.scng.educaibУбедитесь, что ваш сервер Samba доступен по сети и отвечает на запросы.
4. Диагностика подключения из Windows 11
При попытке подключиться к новому домену в Windows, если вы видите, что не удаётся присоединиться, попробуйте следующее:
-
Убедитесь, что Windows использует DNS-сервер вашего Samba контроллера. Измените настройки в
Настройки сети→Свойства подключения→DNS-сервер, указав IP-адрес вашего Samba-сервера (10.216.1.16). -
Включите журналирование в Windows. Используйте
Event Viewerдля получения дополнительных данных о причинах неудачной попытки подключения. Обратите внимание на события в разделе "Логи безопасности".
5. Поддержка и документация
Если после всех этих шагов проблема остается, рекомендуем обратиться к официальной документации Samba, а также на специализированные форумы и сообщества, где участники уже сталкивались с аналогичными проблемами. Ваша версия Samba 4.20.5 поддерживается, и ей должны соответствовать актуальные данные и документация.
Заключение
Для успешного подключения к новой Samba Active Directory вам, прежде всего, нужно признать и устранить возможные проблемы с конфигурацией DNS, проверять в журналах наличие сбоев и протестировать сеть. Надеемся, данные рекомендации помогут вам в более глубоком понимании вашей проблемы и в её решении.