Дополнительный контроллер домена

[Licht]

Не получается синхронизировать пользователей в домене, запись о новой DC появляется, при попытке запустить сервис File Sharing получаем:
Error restarting service File Sharing. See /var/log/zentyal/zentyal.log
Собственно вот содержимое лога:

2012/12/22 18:13:16 INFO> Base.pm:229 EBox::Module::Base::save - Restarting service for module: dns
2012/12/22 18:13:17 WARN> DNS.pm:1489 EBox::DNS::_launchNSupdate - Cannot contact with named, trying in posthook
2012/12/22 18:13:20 ERROR> Sudo.pm:233 EBox::Sudo::_rootError - root command nsupdate -l -t 10 /var/lib/zentyal/tmp/gE60gYhJ3A failed.
Error output: ; TSIG error with server: tsig indicates error
 update failed: REFUSED(BADKEY)

Command output: .
Exit value: 2
2012/12/22 18:13:20 INFO> Base.pm:229 EBox::Module::Base::save - Restarting service for module: dns
2012/12/22 18:13:21 ERROR> Sudo.pm:233 EBox::Sudo::_rootError - root command nsupdate -l -t 10 /var/lib/zentyal/tmp/gE60gYhJ3A failed.
Error output: update failed: REFUSED

Command output: .
Exit value: 2
2012/12/22 18:13:22 ERROR> Service.pm:769 EBox::Module::Service::__ANON__ - Error restarting service: root command nsupdate -l -t 10 /var/lib/zentyal/tmp/gE60gYhJ3A failed.
Error output: update failed: REFUSED

Command output: .
Exit value: 2
2012/12/22 18:13:22 ERROR> RestartService.pm:67 EBox::CGI::SysInfo::RestartService::__ANON__ - Restart of File Sharing from dashboard failed: root command nsupdate -l -t 10 /var/lib/zentyal/tmp/gE60gYhJ3A failed.
Error output: update failed: REFUSED

Command output: .
Exit value: 2
 TSIG error with server: tsig indicates error2012/12/22 18:13:34 DEBUG> Backup.pm:378 EBox::RemoteServices::Backup::_handleResult - Configuration backup {value} does not exist.

[noprice]

у меня та же проблема, не хочет никак синхронизироваться, у вас что-нибудь получилось? два дня гуглю, ничего путнего

[fedotov_andrey]

расскажите как делаете, а то я себе хочу тоже сделать резервный контроллер. Заодно и проверим

[vovannovig]

Сегодня попробовал синхронизировать в SLAVE Zentyal грабли еще те,как-то работает но постоянно стало ошибки кидать...

До этого Оконный сервер хотел добавить и править на нем груповые политики,он у меня влител в домен и стал запускаться под доменной учеткой 
А вот ГрупПолиси хотел проверить как работает - та и не смог отключить банальный контр+алт+дел при запуске системы...

Может что криво стало тогда, но вообще граблей очень много.Наверное проще будет и лучше работать установить в виртуалке или отдельной машине WinServer Core с ролью АД по сценарию - думается мне что будет надежнее!

[noprice]

расскажите как делаете, а то я себе хочу тоже сделать резервный контроллер. Заодно и проверим

Да как обычно делаю, устанавливаю все пакеты (у меня все это дело на виртуалке крутится), прописываю настройки шаблона пользователя, чтобы когда пользователи подтянутся в зентьял, все автоматом настроилось, в общем ради этого все и затевается, неохота вручную пользователей заводить и настраивать им почтовые записи и все такое.

[Licht]

пока результатов 0, если кто сможет привязать эту загадошную зверушку к ад и выложит инструкцию, буду ОЧЕНЬ-ОЧЕНЬ признателен

[Licht]

Новый прогресс, поставил на виртуалку, для теста, без обновлений попробовал завести в домен, сначало ругнулось на имя домена *.local
решение где тут на форуме было, закоментировать строки, проводящие проверку. Помогло. Началась синхронизация пользователей, но с именами где есть пробелы наблюдаем проблемку:
2013/01/23 10:46:49 INFO> Group.pm:225 EBox::Samba::Group::addToZentyal - Adding samba group 'Пользователи DHCP' to Zentyal
2013/01/23 10:46:49 DEBUG> Group.pm:354 EBox::UsersAndGroups::Group::create - Invalid value for group name: Пользователи DHCP.
To avoid problems, the group name should consist only of letters, digits, underscores, spaces, periods, dashs and not start with a dash. They could not contain only number, spaces and dots.

Может знает кто как это обойти?

[logdog]

Писать баг-репорты...
И как тут написано, для Пользователи DHCP - убрать пробел

[Licht]

Понятное дело убрать пробел ) но править все доменные записи созданные автоматически не есть хорошо

[Alco]

Удалось кому-нибудь заставить работать авторизацию Kerberos в сквиде в режиме дополнительного контроллера домена?

[volodya123]

пока результатов 0, если кто сможет привязать эту загадошную зверушку к ад и выложит инструкцию, буду ОЧЕНЬ-ОЧЕНЬ признателен

смотрите здесь - http://wiki.samba.org/index.php/Samba4/HOWTO/Join_a_domain_as_a_DC#Joining_the_existing_domain_as_a_DC
Если руками, то:
-устанавливаете samba, но provision не делаете (это аналог "dcpromo" в винде)
-в качестве DNS ставите bind9 и ставите 5 патчей согласно examples/bind9-patches
-проверяете корректность работы DNS на samba
-цепляете samba к домену командой:

Code: [Select]

# bin/samba-tool domain join samba.example.com DC -Uadministrator --realm=samba.example.com --dns-backend=BIND9_DLZ-тестите репликацию между контроллерами AD

Update.
Попытался это сделать. Упорно выдает ошибки LDAP. Еще непонятно как поменять настройки LDAP Settings указанные в веб-интерфейсе.
подробности здесь - http://trac.zentyal.org/ticket/5230
и здесь - http://trac.zentyal.org/ticket/5328

[Licht]

Продолжаю серию дурных вопросов:
Как сменить значение Users DN и Group DN на вкладке LDAP Settings? Просто не все пользователи храняться в OU=Users, и соответственно Zentyal их не видит.

UPD
не внимательно прочитал пост выше. Проще сказать, что я тоже присоединяюсь к вопросу.

Потихоньку подумываю о возвращении на Debian, там хотя знаешь что настраивать все ручками через конфиги

[volodya123]

...
Как сменить значение Users DN и Group DN на вкладке LDAP Settings?

тоже рылся поиском по форуму Zentyal, ничего не нашел вразумительного, похоже где-то "напрямую вшито" и "глыбоко закопано" 
наверно проще существующую структуру CN-ок и OU-шек домена на винде подогнать под желания zental...

Updated 2013-01-27
Ради интереса специально проделал следующее:
1) ADC1 - первый контроллер домена (zentyal.zentyal-domain.lan)
- создал VM (вирт.машину) и установил в нее zentyal3 то что называется "искаробки"
- после рестарта сразу добавил компонент Office (включает samba), название домена при инсталяции не изменял (zentyal-domain.lan)
- проверил работоспособность нового контроллера домена, путем загона в него winxpsp3 - все заработало

2) ADC2 - второй контроллер домена (samba.zentyal-domain.lan)
- создал еще одну VM и установил в нее zentyal3
- после рестарта мастер установки пропустил
- добавил все необходимые компоненты для самбы, КРОМЕ САМОЙ самбы
- настроил hostnames, DNS, NTP  и проверил что оба контроллера видят друг друга по FQDN
- добавил пакет самбы (file sharing...) НО НЕ ВКЛЮЧАЛ его
- прописал настройки для самбы в General Settings
- сохранил и только после этого сделал samba enable

и... О ЧУДО!!! ADC2 подцепился к ADC1 сходу и без всяких ошибок LDAP

тестировал связку, все реплицируется, юзера добавляются сразу и везде, даже "убил" первый ADC, второй при этом хоть и медленно но авторизовал пользователей.

вывод: если ставить искаробки и все по инструкциям:
1) http://trac.zentyal.org/wiki/Documentation/Community/Development/singlez
2) http://trac.zentyal.org/wiki/Documentation/Community/Development/multiplez
то схема вполне работоспособна

[Licht]

а Вы пробовали сначала обновления поставить? Пробовал сделать как Вы, еще до вашего поста. Да, действительно, начинает видеть пользователей и все вроде как прекрасно работает, но пользователи и группы только из "вшитых" в Zentyal настроек.
Ну вариант с подгоном CN и OU как-то сильно напрягает, ну не должно быть так.
Еще пару недель "кактус погрызу" и видать вернусь обратно на Debian/Ubuntu просто жалко терять всё, что было настроено помимо.

[volodya123]

а Вы пробовали сначала обновления поставить?
...

естессно, все обновления были установлены на оба зентала, первичный и вторичный,
и из веб-морды и из командной строки (sudo apt-get udate && apt-get dist-upgrade)
обновления делал до samba provisions на втором контроллеле

Добавлено:
нарыл тут на просторах тырнета аналогичный зенталу продукт, и в тамошнем wiki по миграции самбы к виндовому домену увидел интересную (ключевую? возможно) фразу -

Code: [Select]

Microsoft DNS
Open the DNS management Console and navigate to your forward and reverse lookup zones. For each of the zones open the Properties menu and change the Replication to the Windows 2000 Compatible modeк сожалению ссылку на продукт привести не могу, дабы не быть побитым модератором форума
попробую проверить когда появиться свободное время...