From: Evgeny Sinelnikov <sin@altlinux.org>
To: "ALT Linux sysadmins' discussion" <sysadmins@lists.altlinux.org>
Cc: Igor Chudov <nir@basealt.ru>, Georgy Bystrenin <gkot@basealt.ru>
Subject: Re: [Sysadmins] Обновление samba-DC 4.7.12 ->4.9.13
Date: Thu, 3 Oct 2019 01:02:46 +0400
Message-ID: <CAK42-GqztJB+dD-SNOUfKbukL6FpKipVkWKSWThpZp3=ub8eUQ@mail.gmail.com> (raw)
In-Reply-To: <460e2554884d4ac880aa79bab26f9174@shpl.ru>
Да, точно... chroot нужно отключить.
чт, 3 окт. 2019 г. в 00:55, <solic@shpl.ru>:
>
> Судя по посту в рассылке, у Вас bind запускается от пользователя named
> А Альте нужно запускать от root и вынуть из chroot.
Настройка лежит здесь:
# grep CHROOT /etc/sysconfig/bind
CHROOT="-t /"
А "ручка" выглядит так:
# control |grep bind
bind-chroot disabled (disabled enabled)
bind-debug disabled (enabled disabled)
bind-slave disabled (enabled disabled)
# control bind-chroot help
disabled: Disable chrootedness of the ISC BIND server
enabled: Enable chrootedness of the ISC BIND server
# control bind-chroot disabled
>
> Alex Moskalenko писал 2019-10-02 18:19:
> > Evgeny Sinelnikov писал 02.10.2019 17:18:
> >> 3) "Коллеги, использующие ALT p8 или p9 с samba в качестве AD DC с
> >> DNS-бэкэндом BIND9_DLZ, подскажите, работает ли у вас обновление
> >> записей
> >> DNS клиентами Windows и samba_dnsupdate?"
> >>
> >> Давайте определимся с критерием проверки.
> >> - Что проверяем? Win7 в домене? или samba-клиент?
> >> - Какие ошибки возникают при попытке обновления записей DNS?
> >>
> >> Нужны конкретные команды, и вывод и более подробный лог ошибок. Можно
> >> лично. Когда протестирую, перешлю уже проанализированные подробности.
> >> Но лучше сразу сюда, просто объём может быть большим, поэтому обычно
> >> поэтому обходятся минимальными подробностями.
> >
> > Мои проблемы описаны еще в апреле в списке рассылки samba -
> > https://lists.altlinux.org/pipermail/samba/2019-April/004329.html
> > И даже баг в багзилле заведен -
> > https://bugzilla.altlinux.org/show_bug.cgi?id=36563
> >
> > Проверяем безопасные обновления DNS, как с клиентов (Win10,
> > Win2019Server), так и с самого DC с помощью samba_dnsupdate.
> > С клиентов - ipconfig /registerdns, с самого DC - samba_dnsupdate.
> > Тестировал домен с 3мя DC - ALT, Ubuntu server 18.04 и Debian Buster
> > 10. На текущий момент samba везде одинаковая - 4.10.8 (в ALT P9 -
> > штатная, в Ubuntu - из ppa School linux, в Debian - из репозитория
> > van-belle.nl.
> >
> > Везде, кроме ALT, зоны успешно обновляются как клиентами, так и
> > samba_dnsupdate. На ALT же имеем в логах записи вида:
> > 2019-04-04T11:21:17.993406+03:00 dc0 named[14068]: client
> > @0x7f01141236c0 192.168.0.11#35595/key DC0\$\@AD.LOCAL: update failed:
> > not authoritative for update zone (NOTAUTH)
> > 2019-04-04T11:21:18.017841+03:00 dc0 named[14068]: client
> > @0x7f0104031eb0 192.168.0.11#48267/key DC0\$\@AD.LOCAL: update failed:
> > not authoritative for update zone (NOTAUTH)
> >
> > На Ubuntu и на Debian в том же AD все работает штатно:
> > Oct 2 17:12:42 dc1 named[15268]: samba_dlz: starting transaction on
> > zone ad.local
> > Oct 2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
> > signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
> > type=AAAA
> > key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
> > Oct 2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
> > signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
> > type=A
> > key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
> > Oct 2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
> > signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
> > type=A
> > key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
> > Oct 2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
> > 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
> > 'ad.local/NONE': deleting rrset at 'pc-001.ad.local' AAAA
> > Oct 2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
> > 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
> > 'ad.local/NONE': deleting rrset at 'pc-001.ad.local' A
> > Oct 2 17:12:42 dc1 named[15268]: samba_dlz: subtracted rdataset
> > pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36'
> > Oct 2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
> > 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
> > 'ad.local/NONE': adding an RR at 'pc-001.ad.local' A 192.168.0.36
> > Oct 2 17:12:42 dc1 named[15268]: samba_dlz: added rdataset
> > pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36'
> > Oct 2 17:12:42 dc1 named[15268]: samba_dlz: committed transaction on
> > zone ad.local
> >
> > При этом на ALT при переключении на SAMBA_INTERNAL обновление зон DNS
> > с клиентов также не работает. Хотя в логах на сервере при этом пусто
> > (на loglevel по умолчанию), а на клиентах - предупреждения о
> > невозможности обновить записи A и AAAA.
> >
> > Готов предоставить дополнительную информацию или даже тестовый стенд,
> > хотя ничего особенного в конфигурации у меня нет. Та же ситуация
> > получается при чистой установке с samba-tool domain provision.
> >
> > Дальнейшее наверное имеет смысл обсуждать в рамках бага в багзилле,
> > чтоб не захламлять рассылку логами и т.п., а сюда уже написать резюме.
> > _______________________________________________
> > Sysadmins mailing list
> > Sysadmins@lists.altlinux.org
> > https://lists.altlinux.org/mailman/listinfo/sysadmins
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
--
Sin (Sinelnikov Evgeny)
next prev parent reply other threads:[~2019-10-02 21:02 UTC|newest]
Thread overview: 13+ messages / expand[flat|nested] mbox.gz Atom feed top
2019-10-01 19:12 solic
2019-10-01 19:51 ` Alex Moskalenko
2019-10-01 21:04 ` solic
2019-10-02 14:18 ` Evgeny Sinelnikov
2019-10-02 15:19 ` Alex Moskalenko
2019-10-02 20:55 ` solic
2019-10-02 21:02 ` Evgeny Sinelnikov [this message]
2019-10-03 3:28 ` Alex Moskalenko
2019-10-03 3:30 ` Alex Moskalenko
2019-10-03 6:31 ` Alex Moskalenko
2019-10-02 20:32 ` solic
2019-10-02 20:38 ` Evgeny Sinelnikov
2019-10-02 20:53 ` solic
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to='CAK42-GqztJB+dD-SNOUfKbukL6FpKipVkWKSWThpZp3=ub8eUQ@mail.gmail.com' \
--to=sin@altlinux.org \
--cc=gkot@basealt.ru \
--cc=nir@basealt.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git