Перенос LDAP+SAMBA на новый сервер
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- рядовой
- Сообщения: 28
- Зарегистрирован: 2007-08-15 21:33:50
Перенос LDAP+SAMBA на новый сервер
Доброго всем!
Есть работающая связка SAMBA+LDAP в качестве контроллера домена. Необходимо перенести на новый сервер. Подскажите как лучше это сделать?
Заранее спасибо
Есть работающая связка SAMBA+LDAP в качестве контроллера домена. Необходимо перенести на новый сервер. Подскажите как лучше это сделать?
Заранее спасибо
Последний раз редактировалось f_andrey 2011-06-29 21:59:33, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Electronik
- капитан
- Сообщения: 1593
- Зарегистрирован: 2008-11-15 17:32:56
- Откуда: Минск
- Контактная информация:
Re: Перенос LDAP+SAMBA на новый сервер
через slapcat делаете Backup базы, копируете необходимые конфиги.
на новом сервере через slapadd восстанавливаете базу и конфиги, делаете доп.настройки по вкусу))
P.S.: с какой на какую ОСь будете переносить?
на новом сервере через slapadd восстанавливаете базу и конфиги, делаете доп.настройки по вкусу))
P.S.: с какой на какую ОСь будете переносить?
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог
Блог
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: Перенос LDAP+SAMBA на новый сервер
да можно многими способами, начиная от поднятия BDC с репликацией баз Ldap и без оного до прямого копирования баз... Надеюсь версии самбы и лдапа на серверах совпадают.diceman писал(а):Доброго всем!
Есть работающая связка SAMBA+LDAP в качестве контроллера домена. Необходимо перенести на новый сервер. Подскажите как лучше это сделать?
Заранее спасибо
-
- рядовой
- Сообщения: 28
- Зарегистрирован: 2007-08-15 21:33:50
Re: Перенос LDAP+SAMBA на новый сервер
Переезд с FreeBSD на FreeBSD в виртуалке (citrix xen). Репликации нет.
-
- рядовой
- Сообщения: 28
- Зарегистрирован: 2007-08-15 21:33:50
Re: Перенос LDAP+SAMBA на новый сервер
Сделал как советовали. Домен пеехал, запустился, работает. Файловый сервер на фряхе переехал на 5+. Теперь следующая трабла , не пеезжает сервер на 2008 винде. Пишет что не может найти домен. Вывод ввод по новой не помогает.
PS Нагуглил пару совет с отключением 128 битного шифрования и правкой реестра - непомогло. Правда теперь пишет вместо "не могу найти домен" "не могу найти учетную запись компьютера"
PS Нагуглил пару совет с отключением 128 битного шифрования и правкой реестра - непомогло. Правда теперь пишет вместо "не могу найти домен" "не могу найти учетную запись компьютера"
- Dron
- ст. сержант
- Сообщения: 373
- Зарегистрирован: 2007-08-15 13:36:28
- Откуда: Днепропетровск
- Контактная информация:
Re: Перенос LDAP+SAMBA на новый сервер
2008 вводите в самбовый домен?
WINS на 2008 на DC прописали?
WINS на 2008 на DC прописали?
Та Да...
- Electronik
- капитан
- Сообщения: 1593
- Зарегистрирован: 2008-11-15 17:32:56
- Откуда: Минск
- Контактная информация:
Re: Перенос LDAP+SAMBA на новый сервер
Для нормальной работы необходимо сделать несколько исправлений в реестре
Код: Выделить всё
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
DomainCompatibilityMode=dword:00000001
DNSNameResolutionRequired=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters]
RequireSignOrSeal=dword:00000001
RequireStrongKey=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces]
Domain=example.ru
NV Domain=example.ru
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог
Блог
-
- рядовой
- Сообщения: 28
- Зарегистрирован: 2007-08-15 21:33:50
Re: Перенос LDAP+SAMBA на новый сервер
to Dron
Не прописал. сейчас попробую и отпишусь. если не получится попробую с реестром игры
Не прописал. сейчас попробую и отпишусь. если не получится попробую с реестром игры
-
- рядовой
- Сообщения: 28
- Зарегистрирован: 2007-08-15 21:33:50
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: Перенос LDAP+SAMBA на новый сервер
А вы попробуйте посмотреть, что у вас в dns'е, может банальное разрешение имен не работает, либо виртуалка что-то гробит в протоколе..
-
- рядовой
- Сообщения: 28
- Зарегистрирован: 2007-08-15 21:33:50
Re: Перенос LDAP+SAMBA на новый сервер
Не похоже. Если при вводе в домен пишу AGDOMAIN, то запрашивает пароль. если пишу agdomain.local то пишет сразу ошибку что нет такого домена
-
- рядовой
- Сообщения: 28
- Зарегистрирован: 2007-08-15 21:33:50
Re: Перенос LDAP+SAMBA на новый сервер
Сейчас скачал патч отсюда http://habrahabr.ru/tag/windows%207/page4/, буду пробовать с ним
-
- рядовой
- Сообщения: 28
- Зарегистрирован: 2007-08-15 21:33:50
Re: Перенос LDAP+SAMBA на новый сервер
Данное обновление неприменимо для этого сервера (((
- Dron
- ст. сержант
- Сообщения: 373
- Зарегистрирован: 2007-08-15 13:36:28
- Откуда: Днепропетровск
- Контактная информация:
Re: Перенос LDAP+SAMBA на новый сервер
давайте по шагам, что вы делаете и что вам в ответ происходит?
WINS на самбе настроен? Его прописали в свойства сетевой на 2008? Без WINS включить машину в домен на самбе не получится... она по нему имена резолвит.
WINS на самбе настроен? Его прописали в свойства сетевой на 2008? Без WINS включить машину в домен на самбе не получится... она по нему имена резолвит.
Та Да...
-
- рядовой
- Сообщения: 28
- Зарегистрирован: 2007-08-15 21:33:50
Re: Перенос LDAP+SAMBA на новый сервер
Контроллер
FreeBSD 8.2
Samba 3.4.9_2
Фаловый сервер на фре, windows xp и 2003 входят, выходят, переносятся в тестовую сетку со
сменой IP без проблем, все работает. Запись в DNS следующая - 192.168.88.4 alina.agdomain.local
Все настроено чтобы воспринималось короткое имя домена agdomain.
Windows Server 2008 r2. Настройка локальных политик по умолчанию
конфиг smb.conf
#======================= Global Settings =====================================
[global]
workgroup = agdomain
server string = alina.agdomain
netbios name = alina
security = user
load printers = no
log level = 10
log file = /var/log/samba34/log.%m
max log size = 50
encrypt passwords = yes
admin users = aminator
passdb backend = ldapsam:ldap://127.0.0.1
ldap suffix = dc=agdomain,dc=local
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap machine suffix = ou=computers
ldap admin dn = "cn=root,dc=agdomain,dc=local"
ldap delete dn = no
ldap ssl = off
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind separator = @
winbind use default domain = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
min receivefile size=16384
use sendfile=true
aio read size = 16384
aio write size = 16384
aio write behind = true
dns proxy = no
local master = yes
os level = 255
domain master = yes
preferred master = yes
domain logons = yes
#if empty, profiles unmoved
logon path =
#wins support = yes
#wins proxy = yes
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
add machine script = /usr/local/sbin/ldapaddmachine '%u' computers
add user script = /usr/local/sbin/ldapadduser '%u' users
add group script = /usr/local/sbin/ldapaddgroup '%g'
add user to group script = /usr/local/sbin/ldapaddusertogroup '%u' '%g'
delete user script = /usr/local/sbin/ldapdeleteuser '%u'
delete group script = /usr/local/sbin/ldapdeletegroup '%g'
delete user from group script = /usr/local/sbin/ldapdeleteuserfromgroup '%u' '%g'
set primary group script = /usr/local/sbin/ldapsetprimarygroup '%u' '%g'
rename user script = /usr/local/sbin/ldaprenameuser '%uold' '%unew
[HOME]
comment = Home Directories
path = /usr/agdomain/home/%U
read only = no
public = no
writable = yes
create mask = 0600
browseable = no
directory mask = 0700
[netlogon]
comment = Network Logon Service
path = /usr/agdomain/netlogon
guest ok = yes
writable = no
#share modes = no
browseable = no
[IPC$]
path = /tmp
hosts allow = 192.168.88.0/24 127.0.0.1
hosts deny = 0.0.0.0/0
Время на контроллере и 2008 синхронизированно. Пинги до контроллера идут и по имени и по ИП.
В реестр пока поправки не вношу
В таком виде выдается ошибка что домен не существует или к нему невозможно подключиться.
FreeBSD 8.2
Samba 3.4.9_2
Фаловый сервер на фре, windows xp и 2003 входят, выходят, переносятся в тестовую сетку со
сменой IP без проблем, все работает. Запись в DNS следующая - 192.168.88.4 alina.agdomain.local
Все настроено чтобы воспринималось короткое имя домена agdomain.
Windows Server 2008 r2. Настройка локальных политик по умолчанию
конфиг smb.conf
#======================= Global Settings =====================================
[global]
workgroup = agdomain
server string = alina.agdomain
netbios name = alina
security = user
load printers = no
log level = 10
log file = /var/log/samba34/log.%m
max log size = 50
encrypt passwords = yes
admin users = aminator
passdb backend = ldapsam:ldap://127.0.0.1
ldap suffix = dc=agdomain,dc=local
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap machine suffix = ou=computers
ldap admin dn = "cn=root,dc=agdomain,dc=local"
ldap delete dn = no
ldap ssl = off
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind separator = @
winbind use default domain = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
min receivefile size=16384
use sendfile=true
aio read size = 16384
aio write size = 16384
aio write behind = true
dns proxy = no
local master = yes
os level = 255
domain master = yes
preferred master = yes
domain logons = yes
#if empty, profiles unmoved
logon path =
#wins support = yes
#wins proxy = yes
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
add machine script = /usr/local/sbin/ldapaddmachine '%u' computers
add user script = /usr/local/sbin/ldapadduser '%u' users
add group script = /usr/local/sbin/ldapaddgroup '%g'
add user to group script = /usr/local/sbin/ldapaddusertogroup '%u' '%g'
delete user script = /usr/local/sbin/ldapdeleteuser '%u'
delete group script = /usr/local/sbin/ldapdeletegroup '%g'
delete user from group script = /usr/local/sbin/ldapdeleteuserfromgroup '%u' '%g'
set primary group script = /usr/local/sbin/ldapsetprimarygroup '%u' '%g'
rename user script = /usr/local/sbin/ldaprenameuser '%uold' '%unew
[HOME]
comment = Home Directories
path = /usr/agdomain/home/%U
read only = no
public = no
writable = yes
create mask = 0600
browseable = no
directory mask = 0700
[netlogon]
comment = Network Logon Service
path = /usr/agdomain/netlogon
guest ok = yes
writable = no
#share modes = no
browseable = no
[IPC$]
path = /tmp
hosts allow = 192.168.88.0/24 127.0.0.1
hosts deny = 0.0.0.0/0
Время на контроллере и 2008 синхронизированно. Пинги до контроллера идут и по имени и по ИП.
В реестр пока поправки не вношу
В таком виде выдается ошибка что домен не существует или к нему невозможно подключиться.
-
- рядовой
- Сообщения: 28
- Зарегистрирован: 2007-08-15 21:33:50
Re: Перенос LDAP+SAMBA на новый сервер
убираю коммент с wins server = yes и добавляю в интерфейс wins сервер
результат тот же
результат тот же
- Electronik
- капитан
- Сообщения: 1593
- Зарегистрирован: 2008-11-15 17:32:56
- Откуда: Минск
- Контактная информация:
Re: Перенос LDAP+SAMBA на новый сервер
читаем внимательно документацию
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог
Блог
-
- рядовой
- Сообщения: 28
- Зарегистрирован: 2007-08-15 21:33:50
Re: Перенос LDAP+SAMBA на новый сервер
Also tested Windows Server 2008 R2 Enterprise with Samba 3.5.6.
То есть нужна самба 3.5?
То есть нужна самба 3.5?
-
- рядовой
- Сообщения: 28
- Зарегистрирован: 2007-08-15 21:33:50
Re: Перенос LDAP+SAMBA на новый сервер
С реестром по ссылке поигрался. результат тот же
- Electronik
- капитан
- Сообщения: 1593
- Зарегистрирован: 2008-11-15 17:32:56
- Откуда: Минск
- Контактная информация:
Re: Перенос LDAP+SAMBA на новый сервер
у меня на 3.5 всё работает))
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог
Блог
-
- рядовой
- Сообщения: 28
- Зарегистрирован: 2007-08-15 21:33:50
Re: Перенос LDAP+SAMBA на новый сервер
Щастлифчег )
Завтра перееду на 3.5
Завтра перееду на 3.5
- gabell
- рядовой
- Сообщения: 25
- Зарегистрирован: 2010-04-30 10:51:00
- Откуда: Питер
Re: Перенос LDAP+SAMBA на новый сервер
Не забудьте предварительно почитать UPDATING, кое-что изменилосьdiceman писал(а):Щастлифчег )
Завтра перееду на 3.5
-
- рядовой
- Сообщения: 28
- Зарегистрирован: 2007-08-15 21:33:50
Re: Перенос LDAP+SAMBA на новый сервер
Чтение Updating уже давно стало нормой, после того как обновился дин раз и все упало )
ВИртуализация наше все ))
ВИртуализация наше все ))
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: Перенос LDAP+SAMBA на новый сервер
У меня чисто познавательский вопрос, как был введен 2008 в домен, сразу на этапе его инсталляции или же после. Имеется в виду следующее, политика на серваке сработала до ввода его в домен или же после. Если до, то попробуйте найти статью у микрософта, как ввести в домен w2k3 BDC на базе NT4, там через реестр и политики на контроллере w2k3 должны быть отключены цифровые подписи ну и т.д.
Может поможет...
Может поможет...
-
- рядовой
- Сообщения: 28
- Зарегистрирован: 2007-08-15 21:33:50
Re: Перенос LDAP+SAMBA на новый сервер
Вобщем корни проблемы нашел, правда еще не исправил.
Отвечаю сам на свой вопрос
Исходные данные
OpenLDAP версии 2.4.23
Samba 3.3.13
Ставим новую машинку, обновляем мир, ядро, ставим openldap, samba35, nss_ldap, ну и все остальное по желанию
на старом контроллере делаем slapcat > ldap.ldif
копируем файл на новый контроллер
копируем старые конфиги, правим по необходимости под новый IP, если вы его поменяли.
Если лдап на новой машинке запущен - останавливаем, делаем
slapadd -c < ldap.ldif
запускаем лдап
Дальше запускаем самбу, предварительно сделав следующее
smbpasswd -w qwerty (тут у нас пароль, прописанный для root в файле slapd.conf
smbpasswd -a admincheg (тут админ, прописанный в файле smb.conf)
вводим ему пароль
запускаем самбу
wbinfo -t дает ошибку, завел машинку в свой домен
net join -U admincheg -W cooldomain (имя вашего домена)
на этом этапе можно ребутнуть тока самбу, я для проверки что все поднимается после ребута сделал reboot
id user работает, wbinfo -p -t -u -g отрабатывает нормально, машинки бывшие в домене залетают в него без проблем, файловые сервера работают ну и все остальное. Короче вроде можно получить состояние нирваны, однако нарвался на досадный глюк
Если вводишь в домен новую машинку с виндой для которой в лдапе нет записи, дает ошибку "Нет такого пользователя".
Оказалось следующее, раньше у меня при вводе машинки в домен автоматом создавалась запись в computers с названием компа. Теперь такая запись не создается, а при ручном вводе требует установить ID не как раньше от 20000 а от 50000. Создание вручную записи для новой машинки с ID От 50000 позволяет ее потом в винде нормально добавить в домен. Где у меня прописаны ID от 20000 и почему новый лдап начал требовать только от 50000 пока не нашел.
Вот теперь пока временно состояние нирваны. Фря работает на citrix xen, делаю снапшоты, бэкапы и прочие радости админа не вставая с рабочего места ))
Отвечаю сам на свой вопрос
Исходные данные
OpenLDAP версии 2.4.23
Samba 3.3.13
Ставим новую машинку, обновляем мир, ядро, ставим openldap, samba35, nss_ldap, ну и все остальное по желанию
на старом контроллере делаем slapcat > ldap.ldif
копируем файл на новый контроллер
копируем старые конфиги, правим по необходимости под новый IP, если вы его поменяли.
Если лдап на новой машинке запущен - останавливаем, делаем
slapadd -c < ldap.ldif
запускаем лдап
Дальше запускаем самбу, предварительно сделав следующее
smbpasswd -w qwerty (тут у нас пароль, прописанный для root в файле slapd.conf
smbpasswd -a admincheg (тут админ, прописанный в файле smb.conf)
вводим ему пароль
запускаем самбу
wbinfo -t дает ошибку, завел машинку в свой домен
net join -U admincheg -W cooldomain (имя вашего домена)
на этом этапе можно ребутнуть тока самбу, я для проверки что все поднимается после ребута сделал reboot
id user работает, wbinfo -p -t -u -g отрабатывает нормально, машинки бывшие в домене залетают в него без проблем, файловые сервера работают ну и все остальное. Короче вроде можно получить состояние нирваны, однако нарвался на досадный глюк
Если вводишь в домен новую машинку с виндой для которой в лдапе нет записи, дает ошибку "Нет такого пользователя".
Оказалось следующее, раньше у меня при вводе машинки в домен автоматом создавалась запись в computers с названием компа. Теперь такая запись не создается, а при ручном вводе требует установить ID не как раньше от 20000 а от 50000. Создание вручную записи для новой машинки с ID От 50000 позволяет ее потом в винде нормально добавить в домен. Где у меня прописаны ID от 20000 и почему новый лдап начал требовать только от 50000 пока не нашел.
Вот теперь пока временно состояние нирваны. Фря работает на citrix xen, делаю снапшоты, бэкапы и прочие радости админа не вставая с рабочего места ))