Re: SAMBA AD DC первичный контроллер испорчен

[Олег Анисимов]

Вы не совсем меня поняли. На PDC (192.168.0.1) в результате попытки ввести
в домен сервер server (192.168.0.231)
были частично переписаны записи в DNS и БД sam.ldb, что вывело PDC из
строя. И вопрос был можно ли что-то с
этим сделать.

Как я и написал в конце, пришлось остановить SAMBA на PDC, на DC1
последовательно присвоить ему все 7 ролей FSMO
(--role=all не прокатило, зависло на третьей по счёту):

*samba-tool fsmo seize --role=pdc*
*samba-tool fsmo seize --role=rid*
*samba-tool fsmo seize --role=schema*
*samba-tool fsmo seize --role=forestdns*
*samba-tool fsmo seize --role=domaindns*
*samba-tool fsmo seize --role=naming*
*samba-tool fsmo seize --role=infrastructure*


И затем принудительно вывести его из домена:

*samba-tool domain demote --remove-other-dead-server=SERVER*


В общем всё получилось. Репликация между DC1 и DC2 проходит нормально, в
DNS хвостов не осталось.

31 мая 2018 г., 12:37 пользователь Максим Штернберг <morenweld на gmail.com>
написал:

> Если я правильно понял, у вас в сети сейчас 2 сервера с одинаковым
> hostname -  "server". Опция send host-name отвечает за то, чтобы сообщать
> dns серверу свой hostname после включения сети. Текущая запись на dns
> сервере при этом обновляется.
> Банально пакеты пересылаются не на тот сервер. Вместо 192.168.0.1
> на 192.168.0.231.
>
> чт, 31 мая 2018 г., 12:09 Олег Анисимов <yoda.jedy.knight на gmail.com>:
>
>> >> А почему бы просто не сменить hostname серверу в single mode ? И на
>> всякий случай, проверьте, включена ли у вас опция send host-name. В случае
>> серверов с одинаковым hostname это бывает крайне неприятно.
>>
>> Честно говоря не понял о чём вы. Кому сменить hostname, про опцию 'send
>> hostname' - это где, и что это даст в данной ситуации?
>>
>> 31 мая 2018 г., 11:27 пользователь Максим Штернберг <morenweld на gmail.com>
>> написал:
>>
>>> А почему бы просто не сменить hostname серверу в single mode ? И на
>>> всякий случай, проверьте, включена ли у вас опция send host-name. В случае
>>> серверов с одинаковым hostname это бывает крайне неприятно.
>>>
>>> вт, 29 мая 2018 г., 17:23 Олег Анисимов <yoda.jedy.knight на gmail.com>:
>>>
>>>> Доброго времени суток всем!
>>>>
>>>> Произошла вот какая неприятность. Есть три коробки с SAMBA в роли AD DC
>>>> и одна под ФС:
>>>>
>>>> *server.office.local  (IP 192.168.0.1)    Ubuntu 16.04 -- SAMBA 4.3.11*
>>>> *dc1.office.local     (IP 192.168.0.240)  Ubuntu 18.04 -- SAMBA 4.7.6*
>>>> *dc1.office.local     (IP 192.168.0.250)  Ubuntu 18.04 -- SAMBA 4.7.6*
>>>> *server               (IP 192.168.0.231)  Ubuntu 18.04 -- SAMBA 4.7.6*
>>>>
>>>>
>>>> Вот этому последнему перед вводом в домен забыл поменять hostname. При
>>>> попытке присоединения к домену получил ошибку:
>>>>
>>>> *root на server:~/makes/deb# net ads join -U Administrator osName='Ubuntu
>>>> Server GNU/Linux' osVer='18.04 LTS'*
>>>> *Enter Administrator's password:*
>>>> *Using short domain name -- OFFICE*
>>>> *Joined 'SERVER' to dns domain 'office.local'*
>>>> *DNS Update for server.office.local failed: ERROR_DNS_UPDATE_FAILED*
>>>> *DNS update failed: NT_STATUS_UNSUCCESSFUL*
>>>>
>>>>
>>>> Ну и первичный контроллер (192.168.0.1) поломался. Видимо часть записей
>>>> в DNS перезаписалась. Теперь на BDC при старте SAMBA такие ошибки:
>>>>
>>>> *May 29 17:06:55 dc2 samba[13183]: [2018/05/29 17:06:55.148520,  0]
>>>> ../source4/librpc/rpc/dcerpc_util.c:737(dcerpc_pipe_auth_recv)*
>>>> *May 29 17:06:55 dc2 samba[13183]:   Failed to bind to uuid
>>>> e3514235-4b06-11d1-ab04-00c04fc2dcd2 for
>>>> ncacn_ip_tcp:192.168.0.1[1024,seal,krb5,target_hostname=82846648-2d3e-42e0-95ca-8cda6e4e7e4e._msdcs.trk33.local,target_principal=GC/server.office.local/office.local,abstract*
>>>> *_syntax=e3514235-4b06-11d1-ab04-00c04fc2dcd2/0x00000004,localaddress=192.168.0.250]
>>>> NT_STATUS_UNSUCCESSFUL*
>>>>
>>>>
>>>> Ну и попытка что-либо сделать на PDC с помощью samba-tools выдаёт
>>>> ошибки:
>>>>
>>>> *samba-tool drs kcc *
>>>> *Failed to bind to uuid e3514235-4b06-11d1-ab04-00c04fc2dcd2 for
>>>> ncacn_ip_tcp:192.168.0.1[1024,seal,target_hostname=server.office.local,abstract_syntax=e3514235-4b06-11d1-ab04-00c04fc2dcd2/0x00000004,localaddress=192.168.0.1]
>>>> NT_STATUS_LOGON_FAILURE*
>>>> *ERROR(<class 'samba.drs_utils.drsException'>): DRS connection to
>>>> server.office.local failed - drsException: DRS connection to
>>>> server.office.local failed: (-1073741715, 'Logon failure')*
>>>> *  File "/usr/lib/python2.7/dist-packages/samba/netcmd/drs.py", line
>>>> 39, in drsuapi_connect*
>>>> *    (ctx.drsuapi, ctx.drsuapi_handle, ctx.bind_supported_extensions) =
>>>> drs_utils.drsuapi_connect(ctx.server, ctx.lp, ctx.creds)*
>>>> *  File "/usr/lib/python2.7/dist-packages/samba/drs_utils.py", line 54,
>>>> in drsuapi_connect*
>>>> *    raise drsException("DRS connection to %s failed: %s" % (server,
>>>> e))*
>>>>
>>>>
>>>> Что можете посоветовать?
>>>>
>>>> Как крайний вариант конечно принудительно забрать FSMO роли на DC1 или
>>>> DC2 и затем, выведя SERVER в офлайн, и сделать
>>>>
>>>> *samba-tool domain demote --remove-other-dead-server=DC2*
>>>>
>>>>
>>>> но хотелось бы вернуть назад. Бэкапов, увы, нет.
>>>>
>>>> --
>>>> С наилучшими пожеланиями,
>>>> Олег Анисимов aka Yoda.
>>>> --
>>>> ubuntu-ru mailing list
>>>> ubuntu-ru на lists.ubuntu.com
>>>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
>>>>
>>>
>>> --
>>> ubuntu-ru mailing list
>>> ubuntu-ru на lists.ubuntu.com
>>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
>>>
>>>
>>
>>
>> --
>> С наилучшими пожеланиями,
>> Олег Анисимов aka Yoda.
>> --
>> ubuntu-ru mailing list
>> ubuntu-ru на lists.ubuntu.com
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
>>
>
> --
> ubuntu-ru mailing list
> ubuntu-ru на lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
>
>


-- 
С наилучшими пожеланиями,
Олег Анисимов aka Yoda.
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <https://lists.ubuntu.com/archives/ubuntu-ru/attachments/20180601/f45e7edc/attachment-0001.html>