Author Topic: Рассинхронизация серверов  (Read 876 times)

IIS

  • Zen Apprentice
  • *
  • Posts: 27
  • Karma: +1/-0
    • View Profile
Рассинхронизация серверов
« on: February 28, 2022, 10:02:27 pm »
Приветствую всех. Водная имеется 2 сервера Zentyal 5.x.x. serv1 (контроллер домена, файрвол) , serv2 (addition domain controller, файловая "помойка", внутренняя почта).

Стали жаловаться что на некоторых ПК выходит сообщение "Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом" начал ковыряться и заметил что на серверах отличаются списки зарегистрированных ПК. Провел эксперимент завел в домен новый ПК он отразился на serv2 ,завел нового пользователя он тоже появился только в serv2.  Я так понимаю произошла рассинхронизация серверов. Как лечить не знаю.

tunsa

  • Zen Samurai
  • ****
  • Posts: 347
  • Karma: +15/-1
    • View Profile

IIS

  • Zen Apprentice
  • *
  • Posts: 27
  • Karma: +1/-0
    • View Profile
Re: Рассинхронизация серверов
« Reply #2 on: March 01, 2022, 08:40:35 pm »
Спасибо за статью. Ознакомился. насколько я понял мне необходимо синхронизировать ресурс sysvol сервера serv2 c ресурсом sysvol сервера serv1? 
слазил на эти ресурсы . На serv2 ресурс пуст
на serv1 есть2 каталога  с длинным названием (похож на UID устройства)
содержащий 2 папки MACHINE и USER они пустые. и файл gpt.ini  содержащий
[Geniral]
Version=0

не думаю что синхронизация поможет
« Last Edit: March 01, 2022, 08:43:22 pm by IIS »

IIS

  • Zen Apprentice
  • *
  • Posts: 27
  • Karma: +1/-0
    • View Profile
Re: Рассинхронизация серверов
« Reply #3 on: March 19, 2022, 04:20:57 pm »
Плюнул я на синхронизацию. Снес serv2 и установил заново(установил Zentyal 7.0.4). Развернул общие ресурсы. и столкнулся с такой ерундой- в моей сети есть измерительный комплекс крутящийся на WindowsXP.   И вот этот динозавр через сетевое окружение прекрасно заходит на serv1  и видит предоставленные ресурсы. а при попытке зайти на serv2  выводит интересную запись "дополнительные подключения к этому удаленному компьютеру в настоящие время невозможны, поскольку число подключений к компьютеру достигло предела" .Все ПК время синхронизировано. Куда копать? c данной машины данные сохраняются в папочку на serv2.

luha

  • Zen Samurai
  • ****
  • Posts: 472
  • Karma: +36/-1
    • View Profile
Re: Рассинхронизация серверов
« Reply #4 on: March 21, 2022, 11:52:01 am »
Пробовали ХР перезагружать? Может это у него число подключений закончилось? В виндах такое любят.

На сервере проверить в настройках самбы параметр
server max protocol = SMB3

IIS

  • Zen Apprentice
  • *
  • Posts: 27
  • Karma: +1/-0
    • View Profile
Re: Рассинхронизация серверов
« Reply #5 on: March 21, 2022, 12:58:03 pm »
Пробовал не помогло.

В самбе
[global]
   bind interfaces only = Yes
   client max protocol = SMB3
   client min protocol = NT1

   interfaces = lo eth0 eth1 br1
   ldap server require strong auth = No
   log file = /var/log/samba/samba.log
   map to guest = Bad User
   max log size = 100000
   ntlm auth = ntlmv1-permitted
   passdb backend = samba_dsdb
   realm = YA-MA.LAN
   server role = active directory domain controller
   server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
   server signing = if_required
   server string = Zentyal Server
   template homedir = /home/%U
   template shell = /usr/bin/bash
   winbind enum groups = Yes
   winbind enum users = Yes
   workgroup = YA-MA
   rpc_server:tcpip = no
   rpc_daemon:spoolssd = embedded
   rpc_server:spoolss = embedded
   rpc_server:winreg = embedded
   rpc_server:ntsvcs = embedded
   rpc_server:eventlog = embedded
   rpc_server:srvsvc = embedded
   rpc_server:svcctl = embedded
   rpc_server:default = external
   winbindd:use external pipes = true
   idmap_ldb:use rfc2307 = yes
   drs:max object sync = 1200
   dsdb:schema update allowed = yes
   server role check:inhibit = yes
   idmap config * : backend = tdb
   include = /etc/samba/shares.conf
   map archive = No
   vfs objects = dfs_samba4 acl_xattr

Думаю в выделенных свойствах дело .  но что именно не пойму

В сети есть пк на win10
« Last Edit: March 21, 2022, 01:00:32 pm by IIS »

luha

  • Zen Samurai
  • ****
  • Posts: 472
  • Karma: +36/-1
    • View Profile
Re: Рассинхронизация серверов
« Reply #6 on: March 21, 2022, 01:15:01 pm »
Попробуй дописать шару с гостевым доступом:

[test]
  path = /mnt/data/testdir
  writable = yes
  public = yes
  guest ok = yes
   create mask = 0755
   directory mask = 0755

IIS

  • Zen Apprentice
  • *
  • Posts: 27
  • Karma: +1/-0
    • View Profile
Re: Рассинхронизация серверов
« Reply #7 on: March 23, 2022, 08:55:42 am »
Не помогло

IIS

  • Zen Apprentice
  • *
  • Posts: 27
  • Karma: +1/-0
    • View Profile
Re: Рассинхронизация серверов
« Reply #8 on: March 29, 2022, 07:38:51 pm »
в конце концов помогла строчка

server min protocol = NT1

пришлось прописать в шаблон

IIS

  • Zen Apprentice
  • *
  • Posts: 27
  • Karma: +1/-0
    • View Profile
Re: Рассинхронизация серверов
« Reply #9 on: July 01, 2022, 02:43:31 pm »
Вернемся к началу.
Напомню. имеются Server1 (5.0.10)Шлюз(имеется внешка + 3 подсети офис, видео наблюдение, станки ),dhcp,dns,Контролер домена, http прокси.
                             Server2 (7.0.4)Дополнительный контролер домена, SoGO, общие папки

Подскажите как мне обновить Server1 до версии 7.0.4?
наблюдаю постоянную рассинхронизацию пользователей Грешу на сильное различие в версиях
либо перевести ф-ю Центрального контролера на   Server2 ??

luha

  • Zen Samurai
  • ****
  • Posts: 472
  • Karma: +36/-1
    • View Profile
Re: Рассинхронизация серверов
« Reply #10 on: July 01, 2022, 03:22:32 pm »
Недавно пытался обновиться и ничсего не вышло с этого. На разные версии и по порядку и с перескоками и через синхронизацию и вручную. Лажа просто какая-то. Там версии деревьев, малейшее различие и попа. Если у тебя оно хоть как-то там синхронизуется уже хорошо.

Забрать роли всегда можно через консоль.

https://wiki.samba.org/index.php/Samba-tool-external

Просмотр текущего состояния:
# samba-tool fsmo show

Штатная передача роли:
# samba-tool fsmo transfer --role=rid

Если контроллер домена вышел из строя передаем роли принудительно:
# samba-tool fsmo seize --role=rid

Список возможных ролей:
- rid
- pdc
- infrastructure
- schema
- naming

Для себя решил уйти от модели AD и сейчас не ввожу машины в домен и не создаю доменных пользователей. Есть прога для преобразования доменного профиля в локальный. AD было актуально для сетей старого типа, где одна локалка и куча компов. Сегодня работаем через VPN в облаке и нам этот AD уже как зайцу колесо.

tunsa

  • Zen Samurai
  • ****
  • Posts: 347
  • Karma: +15/-1
    • View Profile
Re: Рассинхронизация серверов
« Reply #11 on: July 27, 2022, 08:20:33 am »
Недавно пытался обновиться и ничсего не вышло с этого. На разные версии и по порядку и с перескоками и через синхронизацию и вручную. Лажа просто какая-то. Там версии деревьев, малейшее различие и попа. Если у тебя оно хоть как-то там синхронизуется уже хорошо.

Забрать роли всегда можно через консоль.

https://wiki.samba.org/index.php/Samba-tool-external

Просмотр текущего состояния:
# samba-tool fsmo show

Штатная передача роли:
# samba-tool fsmo transfer --role=rid

Если контроллер домена вышел из строя передаем роли принудительно:
# samba-tool fsmo seize --role=rid

Список возможных ролей:
- rid
- pdc
- infrastructure
- schema
- naming

Для себя решил уйти от модели AD и сейчас не ввожу машины в домен и не создаю доменных пользователей. Есть прога для преобразования доменного профиля в локальный. AD было актуально для сетей старого типа, где одна локалка и куча компов. Сегодня работаем через VPN в облаке и нам этот AD уже как зайцу колесо.

А можно, поподробнее про облако, что за облако используете?

luha

  • Zen Samurai
  • ****
  • Posts: 472
  • Karma: +36/-1
    • View Profile
Re: Рассинхронизация серверов
« Reply #12 on: July 27, 2022, 10:14:47 am »
Ну как "облако"... скорее куча серверов и сервисов. Сделали себе веб панель для работы. Сетевые папки webdav на сервере, nextcloud для обмена файлами, почта... всё такое. Люди работают из дому или ещё откуда удалённо, а если нужен доступ к закрытым наружу ресурсам или RDP то по VPN подключаются и считай как в офисе, был бы интернет стабильный. Некоторые вовсе перестали на работу приезжать или ездят через день - экономят время и деньги. С ноутбуков, планшетов, даже умудряются со смартфона срочные дела делать. Сам тоже пользуюсь, очень удобно. Редактируешь файлик на диске webdav, приехал домой, открываешь и дальше. Виртуалок запустили кучу. Настроили 3CX, в офис купили "стационарные" чтоб на столе стояло нечто похожее на телефон плюс каждый у себя в смартфоне подключил и всё - связь есть, можно звонки принимать, пересылать, конференции... Строили осознанно под linux чтоб не связываться и не страдать от политики майкрософт и чтоб работало, виндячие только компьютеры пользователей. Велосипедов старались не изобретать, выбирали из популярных отлаженных. Можно сказать что практически нет проблем, всё хорошо работает в итоге. На сегодня большой выбор серверных приложений с ориентацией на такие задачи, не то что раньше было, всё локальное, у каждого на компьютере. Стало ощутимо надёжнее, нет опасности утери данных при отказе компьютера пользователя, удобно контролировать доступ. Интернет нынче достаточно скоростной, по сети обмен данными выше чем с локальным HDD. Только успевай покупать в кластер новые диски и запихивать. AD при этом никак не участвует и нафиг не нужна, больше мешает. Само по себе AD морально устаревшая концепция инструмента администрирования. Сегодня вместо администрировать пользовательские машины выгоднее администрировать сервисы и доступ пользователей к ним.