forum.lissyara.su

Доброго всем!

Есть работающая связка SAMBA+LDAP в качестве контроллера домена. Необходимо перенести на новый сервер. Подскажите как лучше это сделать?

Заранее спасибо

через slapcat делаете Backup базы, копируете необходимые конфиги.
на новом сервере через slapadd восстанавливаете базу и конфиги, делаете доп.настройки по вкусу))

P.S.: с какой на какую ОСь будете переносить?

diceman писал(а):Доброго всем!
Есть работающая связка SAMBA+LDAP в качестве контроллера домена. Необходимо перенести на новый сервер. Подскажите как лучше это сделать?
Заранее спасибо

да можно многими способами, начиная от поднятия BDC с репликацией баз Ldap и без оного до прямого копирования баз... Надеюсь версии самбы и лдапа на серверах совпадают.

Переезд с FreeBSD на FreeBSD в виртуалке (citrix xen). Репликации нет.

Сделал как советовали. Домен пеехал, запустился, работает. Файловый сервер на фряхе переехал на 5+. Теперь следующая трабла , не пеезжает сервер на 2008 винде. Пишет что не может найти домен. Вывод ввод по новой не помогает.

PS Нагуглил пару совет с отключением 128 битного шифрования и правкой реестра - непомогло. Правда теперь пишет вместо "не могу найти домен" "не могу найти учетную запись компьютера"

2008 вводите в самбовый домен?
WINS на 2008 на DC прописали?

Для нормальной работы необходимо сделать несколько исправлений в реестре

to Dron

Не прописал. сейчас попробую и отпишусь. если не получится попробую с реестром игры

Реестр не помог..буду рыть дальше

http://clip2net.com/s/11NJ6

А вы попробуйте посмотреть, что у вас в dns'е, может банальное разрешение имен не работает, либо виртуалка что-то гробит в протоколе..

Не похоже. Если при вводе в домен пишу AGDOMAIN, то запрашивает пароль. если пишу agdomain.local то пишет сразу ошибку что нет такого домена

Сейчас скачал патч отсюда http://habrahabr.ru/tag/windows%207/page4/, буду пробовать с ним

Данное обновление неприменимо для этого сервера (((

давайте по шагам, что вы делаете и что вам в ответ происходит?
WINS на самбе настроен? Его прописали в свойства сетевой на 2008? Без WINS включить машину в домен на самбе не получится... она по нему имена резолвит.

Контроллер

FreeBSD 8.2
Samba 3.4.9_2

Фаловый сервер на фре, windows xp и 2003 входят, выходят, переносятся в тестовую сетку со

сменой IP без проблем, все работает. Запись в DNS следующая - 192.168.88.4 alina.agdomain.local
Все настроено чтобы воспринималось короткое имя домена agdomain.

Windows Server 2008 r2. Настройка локальных политик по умолчанию

конфиг smb.conf

#======================= Global Settings =====================================
[global]
workgroup = agdomain
server string = alina.agdomain
netbios name = alina
security = user
load printers = no
log level = 10
log file = /var/log/samba34/log.%m
max log size = 50
encrypt passwords = yes
admin users = aminator
passdb backend = ldapsam:ldap://127.0.0.1

ldap suffix = dc=agdomain,dc=local
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap machine suffix = ou=computers
ldap admin dn = "cn=root,dc=agdomain,dc=local"
ldap delete dn = no
ldap ssl = off

winbind uid = 10000-20000
winbind gid = 10000-20000
winbind separator = @
winbind use default domain = yes

socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
min receivefile size=16384
use sendfile=true
aio read size = 16384
aio write size = 16384
aio write behind = true
dns proxy = no
local master = yes
os level = 255
domain master = yes
preferred master = yes
domain logons = yes

#if empty, profiles unmoved
logon path =

#wins support = yes
#wins proxy = yes

display charset = koi8-r
unix charset = koi8-r
dos charset = cp866

add machine script = /usr/local/sbin/ldapaddmachine '%u' computers
add user script = /usr/local/sbin/ldapadduser '%u' users
add group script = /usr/local/sbin/ldapaddgroup '%g'
add user to group script = /usr/local/sbin/ldapaddusertogroup '%u' '%g'
delete user script = /usr/local/sbin/ldapdeleteuser '%u'
delete group script = /usr/local/sbin/ldapdeletegroup '%g'
delete user from group script = /usr/local/sbin/ldapdeleteuserfromgroup '%u' '%g'
set primary group script = /usr/local/sbin/ldapsetprimarygroup '%u' '%g'
rename user script = /usr/local/sbin/ldaprenameuser '%uold' '%unew

[HOME]
comment = Home Directories
path = /usr/agdomain/home/%U
read only = no
public = no
writable = yes
create mask = 0600
browseable = no
directory mask = 0700

[netlogon]
comment = Network Logon Service
path = /usr/agdomain/netlogon
guest ok = yes
writable = no
#share modes = no
browseable = no

[IPC$]
path = /tmp
hosts allow = 192.168.88.0/24 127.0.0.1
hosts deny = 0.0.0.0/0

Время на контроллере и 2008 синхронизированно. Пинги до контроллера идут и по имени и по ИП.
В реестр пока поправки не вношу

В таком виде выдается ошибка что домен не существует или к нему невозможно подключиться.

убираю коммент с wins server = yes и добавляю в интерфейс wins сервер

результат тот же

читаем внимательно документацию

Also tested Windows Server 2008 R2 Enterprise with Samba 3.5.6.

То есть нужна самба 3.5?

С реестром по ссылке поигрался. результат тот же

у меня на 3.5 всё работает))

Щастлифчег )

Завтра перееду на 3.5

diceman писал(а):Щастлифчег )

Завтра перееду на 3.5

Не забудьте предварительно почитать UPDATING, кое-что изменилось

Чтение Updating уже давно стало нормой, после того как обновился дин раз и все упало )
ВИртуализация наше все ))

У меня чисто познавательский вопрос, как был введен 2008 в домен, сразу на этапе его инсталляции или же после. Имеется в виду следующее, политика на серваке сработала до ввода его в домен или же после. Если до, то попробуйте найти статью у микрософта, как ввести в домен w2k3 BDC на базе NT4, там через реестр и политики на контроллере w2k3 должны быть отключены цифровые подписи ну и т.д.
Может поможет...

Вобщем корни проблемы нашел, правда еще не исправил.

Отвечаю сам на свой вопрос

Исходные данные

OpenLDAP версии 2.4.23
Samba 3.3.13

Ставим новую машинку, обновляем мир, ядро, ставим openldap, samba35, nss_ldap, ну и все остальное по желанию

на старом контроллере делаем slapcat > ldap.ldif
копируем файл на новый контроллер
копируем старые конфиги, правим по необходимости под новый IP, если вы его поменяли.
Если лдап на новой машинке запущен - останавливаем, делаем
slapadd -c < ldap.ldif
запускаем лдап
Дальше запускаем самбу, предварительно сделав следующее
smbpasswd -w qwerty (тут у нас пароль, прописанный для root в файле slapd.conf
smbpasswd -a admincheg (тут админ, прописанный в файле smb.conf)
вводим ему пароль
запускаем самбу
wbinfo -t дает ошибку, завел машинку в свой домен
net join -U admincheg -W cooldomain (имя вашего домена)
на этом этапе можно ребутнуть тока самбу, я для проверки что все поднимается после ребута сделал reboot

id user работает, wbinfo -p -t -u -g отрабатывает нормально, машинки бывшие в домене залетают в него без проблем, файловые сервера работают ну и все остальное. Короче вроде можно получить состояние нирваны, однако нарвался на досадный глюк

Если вводишь в домен новую машинку с виндой для которой в лдапе нет записи, дает ошибку "Нет такого пользователя".

Оказалось следующее, раньше у меня при вводе машинки в домен автоматом создавалась запись в computers с названием компа. Теперь такая запись не создается, а при ручном вводе требует установить ID не как раньше от 20000 а от 50000. Создание вручную записи для новой машинки с ID От 50000 позволяет ее потом в винде нормально добавить в домен. Где у меня прописаны ID от 20000 и почему новый лдап начал требовать только от 50000 пока не нашел.

Вот теперь пока временно состояние нирваны. Фря работает на citrix xen, делаю снапшоты, бэкапы и прочие радости админа не вставая с рабочего места ))