Страница 1 из 1

Samba4 AD DNS не отвечает другой сети

Добавлено: 2020-04-13 9:41:56
Dominator
Всем привет!
Столкнулся с проблемой:
На Samba 4.9.5+dfsg-5+deb10u1 поднят был AD. Виртуалка в BHyVe.
На DNS (SAMBA_INTERNAL) запросы (dig, nslookup, etc) проходят только в своей подсети и от роутера, который при конфигурировании был указан как DNS Forwarder. Другим машинам DNS не отвечает.
Как это исправить?

P.S. Зона первого уровная не local, lan, а своя (псевдо-tld). Samba заправляет зоной второго уровня

Заранее благодарен

Samba4 AD DNS не отвечает другой сети

Добавлено: 2020-04-14 15:22:04
Dominator
Думал, что корявые руки. Переставил полностью все.
То же самое. AppArmor вырублен.
DNS не отвечает только по AD DNS-зоне. Глобальные имена типа mail.yandex.ru, gmail.com отдает любому

Samba4 AD DNS не отвечает другой сети

Добавлено: 2020-04-16 10:09:22
Demis
Нужно очень внимательно и аккуратно рыть.
Переустановка, оно конечно да, но сродни покупке новой машине, если пробилось колесо на предыдущей...

Работала года 3-4 схематика, отличная от Вашей, примерно такая:

Код: Выделить всё

[samba+ipfw2]->[win pdc1]->[win isa20041]->[freebsd1-racoon2]->inet->[freebsd2-racoon2]->[win isa20042]->[win pdc2 (another win domain)]->[another users cpu winxp&win7]
Конфигурация кошмарная, но сам придумал, сам и построил - пенять не на кого, никому такого не пожелаю...
Каждая цепочка очень тщательно выстраивалась и вылизывалась.
Каждый компьютер в сети был строго ограничен на "железно/логическом" уровне (железки cisco SG300-52).
Т.е. даже соседние win компы не могли подключиться друг к другу хотя и видели их в сетевом окружении.
Каждый компьютер в сети видел только свой pdc и только шары на нем.
Плюс кому-то давался доступ из другой сети к самбе.
Вин домены были разные, но в доверительном отношении друг к другу.
Это давало возможность авторизации "с другим" доменом "в своей" сети, т.е. избегать прямого контакта через проброшенную сеть к удаленному вин домену.
Эта схематика имеет свои плюсы и минусы, но тем не менее работала.
Виртуалок не было, за исключением работы bind'a в джайл-моде.

Моменты (поверхостно) на которые нужно обратить внимание:
1. Маршрутизация (вся, т.е. и на клиентах тоже).
2. Прохождение пакетов в общем смысле.
3. Прохождение пакетов керберос.
4. Отстройка днс, как внутренних, так и периферийных.
5. Отстройка самбы+винбинд.
6. Генерация правил политик в соответстующих доменах.

Надеюсь написанное более-менее, примерно, понятно.

В самой самбе нужно было определять, разрешать, несколько моментов,
в том числе: ip-сети, домены, разные блоки id.

Код: Выделить всё

[global]
security = ads
domain master = no
client ldap sasl wrapping = sign
client ntlmv2 auth = yes
winbind nss info = rfc2307
winbind trusted domains only = no
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
winbind expand groups = 12
server schannel = yes
server signing = mandatory
restrict anonymous = 2
allow trusted domains = yes
Перечисленные ключи НЕ решают Ваших проблем, но возможно дают направление поиска.
К тому-же оные немного не о том.
Т.к. пока проблема только с днс...

Сложно как-то все это досконально описать (это целый трактат выйдет),
но то, что Ваш случай можно заставить работать - точно.

Даже и не знаю имело-ли смысл об этом всем писать.
Что-то все молчат.

А DNS (SAMBA_INTERNAL) - это что такое?

Samba4 AD DNS не отвечает другой сети

Добавлено: 2020-04-16 23:18:00
guest
Даже и не знаю имело-ли смысл об этом всем писать.
Что-то все молчат.
написать можно тогда, когда есть данные, конфиги, логи...

А тут, ковыряние пальцем в носу.

Samba4 AD DNS не отвечает другой сети

Добавлено: 2020-04-21 6:47:38
FiL
днс не отвечает или до него вопросы не доходят?
Подозревяю, что сторонние клеинты обращаются к стороннему днс серверу и не знают где искать псевдо.tld или самба.псевдо.tld