Назад | Перейти на главную страницу

Samba4 AD DC настраивается и работает, но не подключается к Windows 7 или 10

Я установил Samba 4 AD DC на Ubuntu 18.04 LTS. Я использовал этот урок, чтобы заставить его работать:

https://www.tecmint.com/install-samba4-active-directory-ubuntu/

Проблема в том, что я не могу заставить мои клиенты Windows 7 или 10 подключиться к домену.

Вот мой krb5.conf файл:

[logging]
default = FILE:/var/log/krb-def.log
kdc = FILE:/var/log/kdc.log
admin_server = FILE:/var/log/lrb-adm.log

[libdefaults]
default_realm = MVPOSERVER.LAN

[realms]
MVPOSERVER.LAN = {
   default_domain = mvposerver.lan
   kdc = adc1.mvposerver.lan:88
}

Файл моих хостов:

127.0.0.1   localhost
192.168.9.50    mvposerver
192.168.9.50    mvposerver.lan adc1 _kerberos._udp _ldap._tcp _ldap._tcp.dc._msdcs
192.168.9.50    adc1.mvposerver.lan
192.168.9.50    _kerberos._udp.mvposerver.lan
192.168.9.50    _ldap._tcp.mvposerver.lan
192.168.9.50    _ldap._tcp.dc._msdcs.mvposerver.lan

Мой netplan Конфигурация IP:

network:
  version: 2
  renderer: NetworkManager
  ethernets:
    enp1s0:
      dhcp4: no
      dhcp6: no
      addresses: [192.168.9.50/24]
      gateway4:  192.168.9.250
      nameservers:
              search: [mvposerver.lan]
              addresses: [127.0.0.1, 192.168.9.250]

Конфигурация Samba:

Хост возвращает IP:

# host -t A mvposerver.lan
mvposerver.lan has address 192.168.9.50

Имя хоста сервера adc1. klist возвращает созданного администратора, поэтому он подключается:

# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@MVPOSERVER.LAN

Valid starting       Expires              Service principal
06/18/2019 15:34:17  06/19/2019 01:34:17  krbtgt/MVPOSERVER.LAN@MVPOSERVER.LAN
    renew until 06/19/2019 15:34:14

И samba-tool работает для списка пользователей:

# samba-tool user list
Administrator
krbtgt
Guest

Тем не менее, подключение Windows 7 Pro не будет возвращать пинг для имени хоста и не будет подключаться к контроллеру. Если я пингую имя хоста mvposerver.lan, который возвращает IP-адрес самого сервера, он не разрешит его:

Если я пингую имя Samba NETBIOS, оно возвращает IP:

Кроме того, я знаю, что Kerberos работает, потому что в Windows 7, если я сделаю свой домен mvposerver вместо того mvposerver.lan он просит меня подключиться с использованием учетных данных, но после этого появляются ошибки:

Я тоже не могу пинговать google.com или любое другое доменное имя от клиента Windows один раз в DNS через DC. Я могу пинговать google.com с сервера DC в терминале нормально, я также могу пинговать 8.8.8.8 от клиента, просто не разрешается домен.

РЕДАКТИРОВАТЬ

Я установил Bind9, настроил записи DNS, теперь сервер не будет пинговать свое собственное имя хоста, а также клиент. Но у клиента сейчас есть интернет.

Настройка DNS:

РЕДАКТИРОВАТЬ2

Я обновил свои записи DNS и получил работу DNS, теперь у клиента есть Интернет и он правильно определяет имена хостов:

Итак, теперь клиент прекрасно находит DC по имени хоста и даже находит имя хоста и IP-адрес, но не может найти работающее программное обеспечение DC, хотя Samba говорит, что оно есть.

Я бы добавил это в конфигурацию SAMBA:

В [Global] добавьте:

минимальный протокол = SMB2

Затем перезапустите его.

(SMB1 устарел)

Это похоже на проблему с DNS. Я предполагаю, что файл hosts, который вы показали, находится на сервере? Это касается клиентского компонента DNS сервера, а не компонента сервера DNS сервера. Это также не поможет другим клиентам разрешить DNS для AD.

У вас есть DNS-сервер, на котором размещена DNS-зона для AD? В противном случае он вам понадобится, и вам необходимо настроить клиентов, которых вы хотите присоединить к домену, чтобы использовать его.