Samba4 AD DNS не отвечает другой сети

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Dominator
мл. сержант
Сообщения: 123
Зарегистрирован: 2009-06-06 15:43:01
Откуда: Новосибирск/Кобург
Контактная информация:

Samba4 AD DNS не отвечает другой сети

Непрочитанное сообщение Dominator » 2020-04-13 9:41:56

Всем привет!
Столкнулся с проблемой:
На Samba 4.9.5+dfsg-5+deb10u1 поднят был AD. Виртуалка в BHyVe.
На DNS (SAMBA_INTERNAL) запросы (dig, nslookup, etc) проходят только в своей подсети и от роутера, который при конфигурировании был указан как DNS Forwarder. Другим машинам DNS не отвечает.
Как это исправить?

P.S. Зона первого уровная не local, lan, а своя (псевдо-tld). Samba заправляет зоной второго уровня

Заранее благодарен
Windows must die!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Dominator
мл. сержант
Сообщения: 123
Зарегистрирован: 2009-06-06 15:43:01
Откуда: Новосибирск/Кобург
Контактная информация:

Samba4 AD DNS не отвечает другой сети

Непрочитанное сообщение Dominator » 2020-04-14 15:22:04

Думал, что корявые руки. Переставил полностью все.
То же самое. AppArmor вырублен.
DNS не отвечает только по AD DNS-зоне. Глобальные имена типа mail.yandex.ru, gmail.com отдает любому
Windows must die!

Demis
старшина
Сообщения: 410
Зарегистрирован: 2015-05-25 14:36:32

Samba4 AD DNS не отвечает другой сети

Непрочитанное сообщение Demis » 2020-04-16 10:09:22

Нужно очень внимательно и аккуратно рыть.
Переустановка, оно конечно да, но сродни покупке новой машине, если пробилось колесо на предыдущей...

Работала года 3-4 схематика, отличная от Вашей, примерно такая:

Код: Выделить всё

[samba+ipfw2]->[win pdc1]->[win isa20041]->[freebsd1-racoon2]->inet->[freebsd2-racoon2]->[win isa20042]->[win pdc2 (another win domain)]->[another users cpu winxp&win7]
Конфигурация кошмарная, но сам придумал, сам и построил - пенять не на кого, никому такого не пожелаю...
Каждая цепочка очень тщательно выстраивалась и вылизывалась.
Каждый компьютер в сети был строго ограничен на "железно/логическом" уровне (железки cisco SG300-52).
Т.е. даже соседние win компы не могли подключиться друг к другу хотя и видели их в сетевом окружении.
Каждый компьютер в сети видел только свой pdc и только шары на нем.
Плюс кому-то давался доступ из другой сети к самбе.
Вин домены были разные, но в доверительном отношении друг к другу.
Это давало возможность авторизации "с другим" доменом "в своей" сети, т.е. избегать прямого контакта через проброшенную сеть к удаленному вин домену.
Эта схематика имеет свои плюсы и минусы, но тем не менее работала.
Виртуалок не было, за исключением работы bind'a в джайл-моде.

Моменты (поверхостно) на которые нужно обратить внимание:
1. Маршрутизация (вся, т.е. и на клиентах тоже).
2. Прохождение пакетов в общем смысле.
3. Прохождение пакетов керберос.
4. Отстройка днс, как внутренних, так и периферийных.
5. Отстройка самбы+винбинд.
6. Генерация правил политик в соответстующих доменах.

Надеюсь написанное более-менее, примерно, понятно.

В самой самбе нужно было определять, разрешать, несколько моментов,
в том числе: ip-сети, домены, разные блоки id.

Код: Выделить всё

[global]
security = ads
domain master = no
client ldap sasl wrapping = sign
client ntlmv2 auth = yes
winbind nss info = rfc2307
winbind trusted domains only = no
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
winbind expand groups = 12
server schannel = yes
server signing = mandatory
restrict anonymous = 2
allow trusted domains = yes
Перечисленные ключи НЕ решают Ваших проблем, но возможно дают направление поиска.
К тому-же оные немного не о том.
Т.к. пока проблема только с днс...

Сложно как-то все это досконально описать (это целый трактат выйдет),
но то, что Ваш случай можно заставить работать - точно.

Даже и не знаю имело-ли смысл об этом всем писать.
Что-то все молчат.

А DNS (SAMBA_INTERNAL) - это что такое?

guest
проходил мимо

Samba4 AD DNS не отвечает другой сети

Непрочитанное сообщение guest » 2020-04-16 23:18:00

Даже и не знаю имело-ли смысл об этом всем писать.
Что-то все молчат.
написать можно тогда, когда есть данные, конфиги, логи...

А тут, ковыряние пальцем в носу.

FiL
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2010-02-05 0:21:40

Samba4 AD DNS не отвечает другой сети

Непрочитанное сообщение FiL » 2020-04-21 6:47:38

днс не отвечает или до него вопросы не доходят?
Подозревяю, что сторонние клеинты обращаются к стороннему днс серверу и не знают где искать псевдо.tld или самба.псевдо.tld