Перенос LDAP+SAMBA на новый сервер

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
diceman
рядовой
Сообщения: 28
Зарегистрирован: 2007-08-15 21:33:50

Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение diceman » 2011-06-29 18:17:09

Доброго всем!

Есть работающая связка SAMBA+LDAP в качестве контроллера домена. Необходимо перенести на новый сервер. Подскажите как лучше это сделать?

Заранее спасибо
Последний раз редактировалось f_andrey 2011-06-29 21:59:33, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение Electronik » 2011-06-29 20:00:35

через slapcat делаете Backup базы, копируете необходимые конфиги.
на новом сервере через slapadd восстанавливаете базу и конфиги, делаете доп.настройки по вкусу))

P.S.: с какой на какую ОСь будете переносить?
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение snorlov » 2011-06-29 21:14:33

diceman писал(а):Доброго всем!
Есть работающая связка SAMBA+LDAP в качестве контроллера домена. Необходимо перенести на новый сервер. Подскажите как лучше это сделать?
Заранее спасибо
да можно многими способами, начиная от поднятия BDC с репликацией баз Ldap и без оного до прямого копирования баз... Надеюсь версии самбы и лдапа на серверах совпадают.

diceman
рядовой
Сообщения: 28
Зарегистрирован: 2007-08-15 21:33:50

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение diceman » 2011-06-30 11:17:36

Переезд с FreeBSD на FreeBSD в виртуалке (citrix xen). Репликации нет.

diceman
рядовой
Сообщения: 28
Зарегистрирован: 2007-08-15 21:33:50

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение diceman » 2011-06-30 11:19:03

Сделал как советовали. Домен пеехал, запустился, работает. Файловый сервер на фряхе переехал на 5+. Теперь следующая трабла , не пеезжает сервер на 2008 винде. Пишет что не может найти домен. Вывод ввод по новой не помогает.

PS Нагуглил пару совет с отключением 128 битного шифрования и правкой реестра - непомогло. Правда теперь пишет вместо "не могу найти домен" "не могу найти учетную запись компьютера"

Аватара пользователя
Dron
ст. сержант
Сообщения: 373
Зарегистрирован: 2007-08-15 13:36:28
Откуда: Днепропетровск
Контактная информация:

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение Dron » 2011-06-30 11:35:40

2008 вводите в самбовый домен?
WINS на 2008 на DC прописали?
Та Да...

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение Electronik » 2011-06-30 11:40:15

Для нормальной работы необходимо сделать несколько исправлений в реестре

Код: Выделить всё

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
DomainCompatibilityMode=dword:00000001
DNSNameResolutionRequired=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters]
RequireSignOrSeal=dword:00000001
RequireStrongKey=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces]
Domain=example.ru
NV Domain=example.ru
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

diceman
рядовой
Сообщения: 28
Зарегистрирован: 2007-08-15 21:33:50

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение diceman » 2011-06-30 12:15:05

to Dron

Не прописал. сейчас попробую и отпишусь. если не получится попробую с реестром игры

diceman
рядовой
Сообщения: 28
Зарегистрирован: 2007-08-15 21:33:50

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение diceman » 2011-06-30 12:28:23

Реестр не помог..буду рыть дальше

http://clip2net.com/s/11NJ6

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение snorlov » 2011-06-30 14:11:02

А вы попробуйте посмотреть, что у вас в dns'е, может банальное разрешение имен не работает, либо виртуалка что-то гробит в протоколе..

diceman
рядовой
Сообщения: 28
Зарегистрирован: 2007-08-15 21:33:50

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение diceman » 2011-06-30 14:33:24

Не похоже. Если при вводе в домен пишу AGDOMAIN, то запрашивает пароль. если пишу agdomain.local то пишет сразу ошибку что нет такого домена

diceman
рядовой
Сообщения: 28
Зарегистрирован: 2007-08-15 21:33:50

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение diceman » 2011-06-30 14:34:07

Сейчас скачал патч отсюда http://habrahabr.ru/tag/windows%207/page4/, буду пробовать с ним

diceman
рядовой
Сообщения: 28
Зарегистрирован: 2007-08-15 21:33:50

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение diceman » 2011-06-30 15:18:58

Данное обновление неприменимо для этого сервера (((

Аватара пользователя
Dron
ст. сержант
Сообщения: 373
Зарегистрирован: 2007-08-15 13:36:28
Откуда: Днепропетровск
Контактная информация:

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение Dron » 2011-06-30 15:33:53

давайте по шагам, что вы делаете и что вам в ответ происходит?
WINS на самбе настроен? Его прописали в свойства сетевой на 2008? Без WINS включить машину в домен на самбе не получится... она по нему имена резолвит.
Та Да...

diceman
рядовой
Сообщения: 28
Зарегистрирован: 2007-08-15 21:33:50

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение diceman » 2011-06-30 16:08:04

Контроллер

FreeBSD 8.2
Samba 3.4.9_2

Фаловый сервер на фре, windows xp и 2003 входят, выходят, переносятся в тестовую сетку со

сменой IP без проблем, все работает. Запись в DNS следующая - 192.168.88.4 alina.agdomain.local
Все настроено чтобы воспринималось короткое имя домена agdomain.

Windows Server 2008 r2. Настройка локальных политик по умолчанию

конфиг smb.conf

#======================= Global Settings =====================================
[global]
workgroup = agdomain
server string = alina.agdomain
netbios name = alina
security = user
load printers = no
log level = 10
log file = /var/log/samba34/log.%m
max log size = 50
encrypt passwords = yes
admin users = aminator
passdb backend = ldapsam:ldap://127.0.0.1

ldap suffix = dc=agdomain,dc=local
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap machine suffix = ou=computers
ldap admin dn = "cn=root,dc=agdomain,dc=local"
ldap delete dn = no
ldap ssl = off

winbind uid = 10000-20000
winbind gid = 10000-20000
winbind separator = @
winbind use default domain = yes

socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
min receivefile size=16384
use sendfile=true
aio read size = 16384
aio write size = 16384
aio write behind = true
dns proxy = no
local master = yes
os level = 255
domain master = yes
preferred master = yes
domain logons = yes

#if empty, profiles unmoved
logon path =

#wins support = yes
#wins proxy = yes

display charset = koi8-r
unix charset = koi8-r
dos charset = cp866

add machine script = /usr/local/sbin/ldapaddmachine '%u' computers
add user script = /usr/local/sbin/ldapadduser '%u' users
add group script = /usr/local/sbin/ldapaddgroup '%g'
add user to group script = /usr/local/sbin/ldapaddusertogroup '%u' '%g'
delete user script = /usr/local/sbin/ldapdeleteuser '%u'
delete group script = /usr/local/sbin/ldapdeletegroup '%g'
delete user from group script = /usr/local/sbin/ldapdeleteuserfromgroup '%u' '%g'
set primary group script = /usr/local/sbin/ldapsetprimarygroup '%u' '%g'
rename user script = /usr/local/sbin/ldaprenameuser '%uold' '%unew

[HOME]
comment = Home Directories
path = /usr/agdomain/home/%U
read only = no
public = no
writable = yes
create mask = 0600
browseable = no
directory mask = 0700

[netlogon]
comment = Network Logon Service
path = /usr/agdomain/netlogon
guest ok = yes
writable = no
#share modes = no
browseable = no

[IPC$]
path = /tmp
hosts allow = 192.168.88.0/24 127.0.0.1
hosts deny = 0.0.0.0/0

Время на контроллере и 2008 синхронизированно. Пинги до контроллера идут и по имени и по ИП.
В реестр пока поправки не вношу

В таком виде выдается ошибка что домен не существует или к нему невозможно подключиться.

diceman
рядовой
Сообщения: 28
Зарегистрирован: 2007-08-15 21:33:50

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение diceman » 2011-06-30 16:09:22

убираю коммент с wins server = yes и добавляю в интерфейс wins сервер

результат тот же

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение Electronik » 2011-06-30 16:18:42

читаем внимательно документацию
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

diceman
рядовой
Сообщения: 28
Зарегистрирован: 2007-08-15 21:33:50

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение diceman » 2011-06-30 16:27:27

Also tested Windows Server 2008 R2 Enterprise with Samba 3.5.6.

То есть нужна самба 3.5?

diceman
рядовой
Сообщения: 28
Зарегистрирован: 2007-08-15 21:33:50

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение diceman » 2011-06-30 16:41:19

С реестром по ссылке поигрался. результат тот же

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение Electronik » 2011-06-30 17:08:30

у меня на 3.5 всё работает))
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

diceman
рядовой
Сообщения: 28
Зарегистрирован: 2007-08-15 21:33:50

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение diceman » 2011-06-30 17:18:02

Щастлифчег )

Завтра перееду на 3.5

Аватара пользователя
gabell
рядовой
Сообщения: 25
Зарегистрирован: 2010-04-30 10:51:00
Откуда: Питер

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение gabell » 2011-06-30 18:19:55

diceman писал(а):Щастлифчег )

Завтра перееду на 3.5
Не забудьте предварительно почитать UPDATING, кое-что изменилось ;-)

diceman
рядовой
Сообщения: 28
Зарегистрирован: 2007-08-15 21:33:50

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение diceman » 2011-07-01 8:59:37

Чтение Updating уже давно стало нормой, после того как обновился дин раз и все упало )
ВИртуализация наше все ))

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение snorlov » 2011-07-01 12:09:26

У меня чисто познавательский вопрос, как был введен 2008 в домен, сразу на этапе его инсталляции или же после. Имеется в виду следующее, политика на серваке сработала до ввода его в домен или же после. Если до, то попробуйте найти статью у микрософта, как ввести в домен w2k3 BDC на базе NT4, там через реестр и политики на контроллере w2k3 должны быть отключены цифровые подписи ну и т.д.
Может поможет...

diceman
рядовой
Сообщения: 28
Зарегистрирован: 2007-08-15 21:33:50

Re: Перенос LDAP+SAMBA на новый сервер

Непрочитанное сообщение diceman » 2011-07-03 11:45:29

Вобщем корни проблемы нашел, правда еще не исправил.

Отвечаю сам на свой вопрос

Исходные данные

OpenLDAP версии 2.4.23
Samba 3.3.13

Ставим новую машинку, обновляем мир, ядро, ставим openldap, samba35, nss_ldap, ну и все остальное по желанию

на старом контроллере делаем slapcat > ldap.ldif
копируем файл на новый контроллер
копируем старые конфиги, правим по необходимости под новый IP, если вы его поменяли.
Если лдап на новой машинке запущен - останавливаем, делаем
slapadd -c < ldap.ldif
запускаем лдап
Дальше запускаем самбу, предварительно сделав следующее
smbpasswd -w qwerty (тут у нас пароль, прописанный для root в файле slapd.conf
smbpasswd -a admincheg (тут админ, прописанный в файле smb.conf)
вводим ему пароль
запускаем самбу
wbinfo -t дает ошибку, завел машинку в свой домен
net join -U admincheg -W cooldomain (имя вашего домена)
на этом этапе можно ребутнуть тока самбу, я для проверки что все поднимается после ребута сделал reboot

id user работает, wbinfo -p -t -u -g отрабатывает нормально, машинки бывшие в домене залетают в него без проблем, файловые сервера работают ну и все остальное. Короче вроде можно получить состояние нирваны, однако нарвался на досадный глюк

Если вводишь в домен новую машинку с виндой для которой в лдапе нет записи, дает ошибку "Нет такого пользователя".

Оказалось следующее, раньше у меня при вводе машинки в домен автоматом создавалась запись в computers с названием компа. Теперь такая запись не создается, а при ручном вводе требует установить ID не как раньше от 20000 а от 50000. Создание вручную записи для новой машинки с ID От 50000 позволяет ее потом в винде нормально добавить в домен. Где у меня прописаны ID от 20000 и почему новый лдап начал требовать только от 50000 пока не нашел.

Вот теперь пока временно состояние нирваны. Фря работает на citrix xen, делаю снапшоты, бэкапы и прочие радости админа не вставая с рабочего места ))