2 Samb'ы PDC + LDAP с репликой

[zersh]

Доброго времени суток всем!
Настраивал сабж по следующим статьям :
http://www.lissyara.su/?id=1329 - PDC Samba + LDAP
и
http://xgu.ru/wiki/Ldap/replication - Репликация LDAP'a

Основной домен как и репликация работают нормально, что в дочернем что в основном, изменения появляются сразу. Однако появились проблемы со вторым доменом. При попытке завести в него новый комп в логах пишет:

Код: Выделить всё

 User admin with invalid SID S-1-5-21-3292338613-4187778460-3684369928-21002 in passdb

как я понимаю это несовпадения паролей. Может кто встречался с такой проблеммой ? Если нет то может есть какието варианты как это можно полечить.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

нечастая конфигурация.
если не секрет - зачем два контроллера?
Это же не винда - архивится и раскатывается - влёт и без проблем

[zersh]

Каждый домен должен быть отдельным(они разделены месторасположением - связаны VPN'ом),соответсвенно в каждый домен будут вноситься тачки,в сетевом окружении они должны быть видны как домен1,домен2, ну и.тд, но при этом должна использоваться одна центральная база LDAP'a . Может быть я вообще не в ту сторону смотрю, тогда подскажите плизз.

[Alex Keda]

тем не менее - не вижу смысла в двух контроллерах

[zersh]

а как тогда, я в первые настраиваю такую вещь?

[smilealex]

если я правильно понимаю.. то следуетнастроить VPN между двумя сетями.. в любой из них поднять один контроллер с лдапой, а сетки будут друг с дружкой дружить средствами VPN.. вроде так логично, но если падает VPN.. хм.. вероятно следует просто поднять два контроллера PDC и BDC, соответственно каждый в разных сетях + реплика LDAP. Но два домена и доверия - по-моему это уже перебор.

[zersh]

Дело в том что при варианте PDC + BDC + LDAP с репиликацией - след. ситуация: сервер BDC входит в домен сервера PDC, при этом в сетевом окружении виден только 1 домен, и все бы ничего,но, для людей кому около 45 и более(а в нашей фирме таких большинство) гораздо проще зайти в домен с названием их офиса и искать необходимую тачку среди 20 штук, чем в общий и выбирать из 100. Это первое, второе. учитывая специфику работы BDC,он будет отвечать на запросы пользователей только в случае падения PDC(если я не прав поправьте меня).А это само собой будет вызывать нагрузку на канал, т.к. сервера то в разных офисах.
У меня получилось сделать связку DOMEN1+LDAP1,DOMEN2+LDAP2,DOMEN3+LDAP3
Но хотелось бы иметь такую:

ДОМЕН1+LDAP-центральный
/ | \
/ | \
ДОМЕН2+LDAP-slave ДОМЕН3+LDAP-slave ДОМЕН4+LDAP-slave


Так что вопрос остается открытым.

[Dron]

А покажи структуру LDAP корня...
такое впечатление, что у тебя вторым доменов перетерло учетку админа первого... Неправильный SID

[zersh]

вот, точно, они уменя одинаковые как в статьях написано. как надо правильно?

[zersh]

Народ. Подскажите пожалуйста кто знает, как решить проблемму синхронизации SID между samba PDC и Win2003 PDC ?

Если я захожу в samba домен от имени юзера которого нет в его домене, то он впускает или сразуже запрашивает имя и пароль, и соответственно я могу зарегаться под необходимым юзером, а если я пытаюсь войти от имени юзера который уже есть в samba домене то она кричит что у юзера неправельный сид.

1) можно ли и как синхронизировать SID'ы ?
2) если нет то можно ли заставить самбу при попытках входа подставлять не чужой домен а свой?
3) заставить при любом подключении из чужого домена выводить имя пользователя и пароль
4) отучить винду втыкать имя своего домена при входе в чужой

спасибо