From: Alex Moskalenko <mav@elserv.msk.su>
To: sysadmins@lists.altlinux.org
Subject: Re: [Sysadmins] Обновление samba-DC 4.7.12 ->4.9.13
Date: Wed, 02 Oct 2019 18:19:38 +0300
Message-ID: <9cf2f452cd376be9ad2ec2dc571168ef@elserv.ru> (raw)
In-Reply-To: <CAK42-GrQgD5yUeDUWUz=kd7QeppydbRcJJQbYqYVeS+u5c-=+w@mail.gmail.com>
Evgeny Sinelnikov писал 02.10.2019 17:18:
> 3) "Коллеги, использующие ALT p8 или p9 с samba в качестве AD DC с
> DNS-бэкэндом BIND9_DLZ, подскажите, работает ли у вас обновление
> записей
> DNS клиентами Windows и samba_dnsupdate?"
>
> Давайте определимся с критерием проверки.
> - Что проверяем? Win7 в домене? или samba-клиент?
> - Какие ошибки возникают при попытке обновления записей DNS?
>
> Нужны конкретные команды, и вывод и более подробный лог ошибок. Можно
> лично. Когда протестирую, перешлю уже проанализированные подробности.
> Но лучше сразу сюда, просто объём может быть большим, поэтому обычно
> поэтому обходятся минимальными подробностями.
Мои проблемы описаны еще в апреле в списке рассылки samba -
https://lists.altlinux.org/pipermail/samba/2019-April/004329.html
И даже баг в багзилле заведен -
https://bugzilla.altlinux.org/show_bug.cgi?id=36563
Проверяем безопасные обновления DNS, как с клиентов (Win10,
Win2019Server), так и с самого DC с помощью samba_dnsupdate.
С клиентов - ipconfig /registerdns, с самого DC - samba_dnsupdate.
Тестировал домен с 3мя DC - ALT, Ubuntu server 18.04 и Debian Buster 10.
На текущий момент samba везде одинаковая - 4.10.8 (в ALT P9 - штатная, в
Ubuntu - из ppa School linux, в Debian - из репозитория van-belle.nl.
Везде, кроме ALT, зоны успешно обновляются как клиентами, так и
samba_dnsupdate. На ALT же имеем в логах записи вида:
2019-04-04T11:21:17.993406+03:00 dc0 named[14068]: client
@0x7f01141236c0 192.168.0.11#35595/key DC0\$\@AD.LOCAL: update failed:
not authoritative for update zone (NOTAUTH)
2019-04-04T11:21:18.017841+03:00 dc0 named[14068]: client
@0x7f0104031eb0 192.168.0.11#48267/key DC0\$\@AD.LOCAL: update failed:
not authoritative for update zone (NOTAUTH)
На Ubuntu и на Debian в том же AD все работает штатно:
Oct 2 17:12:42 dc1 named[15268]: samba_dlz: starting transaction on
zone ad.local
Oct 2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
type=AAAA
key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
Oct 2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
type=A
key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
Oct 2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
type=A
key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
Oct 2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
'ad.local/NONE': deleting rrset at 'pc-001.ad.local' AAAA
Oct 2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
'ad.local/NONE': deleting rrset at 'pc-001.ad.local' A
Oct 2 17:12:42 dc1 named[15268]: samba_dlz: subtracted rdataset
pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36'
Oct 2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
'ad.local/NONE': adding an RR at 'pc-001.ad.local' A 192.168.0.36
Oct 2 17:12:42 dc1 named[15268]: samba_dlz: added rdataset
pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36'
Oct 2 17:12:42 dc1 named[15268]: samba_dlz: committed transaction on
zone ad.local
При этом на ALT при переключении на SAMBA_INTERNAL обновление зон DNS с
клиентов также не работает. Хотя в логах на сервере при этом пусто (на
loglevel по умолчанию), а на клиентах - предупреждения о невозможности
обновить записи A и AAAA.
Готов предоставить дополнительную информацию или даже тестовый стенд,
хотя ничего особенного в конфигурации у меня нет. Та же ситуация
получается при чистой установке с samba-tool domain provision.
Дальнейшее наверное имеет смысл обсуждать в рамках бага в багзилле, чтоб
не захламлять рассылку логами и т.п., а сюда уже написать резюме.
next prev parent reply other threads:[~2019-10-02 15:19 UTC|newest]
Thread overview: 13+ messages / expand[flat|nested] mbox.gz Atom feed top
2019-10-01 19:12 solic
2019-10-01 19:51 ` Alex Moskalenko
2019-10-01 21:04 ` solic
2019-10-02 14:18 ` Evgeny Sinelnikov
2019-10-02 15:19 ` Alex Moskalenko [this message]
2019-10-02 20:55 ` solic
2019-10-02 21:02 ` Evgeny Sinelnikov
2019-10-03 3:28 ` Alex Moskalenko
2019-10-03 3:30 ` Alex Moskalenko
2019-10-03 6:31 ` Alex Moskalenko
2019-10-02 20:32 ` solic
2019-10-02 20:38 ` Evgeny Sinelnikov
2019-10-02 20:53 ` solic
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=9cf2f452cd376be9ad2ec2dc571168ef@elserv.ru \
--to=mav@elserv.msk.su \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git