Zentyal Forum, Linux Small Business Server
International => Russian => Topic started by: IIS on February 28, 2022, 10:02:27 pm
-
Приветствую всех. Водная имеется 2 сервера Zentyal 5.x.x. serv1 (контроллер домена, файрвол) , serv2 (addition domain controller, файловая "помойка", внутренняя почта).
Стали жаловаться что на некоторых ПК выходит сообщение "Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом" начал ковыряться и заметил что на серверах отличаются списки зарегистрированных ПК. Провел эксперимент завел в домен новый ПК он отразился на serv2 ,завел нового пользователя он тоже появился только в serv2. Я так понимаю произошла рассинхронизация серверов. Как лечить не знаю.
-
https://wiki.samba.org/index.php/Rsync_based_SysVol_replication_workaround
-
Спасибо за статью. Ознакомился. насколько я понял мне необходимо синхронизировать ресурс sysvol сервера serv2 c ресурсом sysvol сервера serv1?
слазил на эти ресурсы . На serv2 ресурс пуст
на serv1 есть2 каталога с длинным названием (похож на UID устройства)
содержащий 2 папки MACHINE и USER они пустые. и файл gpt.ini содержащий
[Geniral]
Version=0
не думаю что синхронизация поможет
-
Плюнул я на синхронизацию. Снес serv2 и установил заново(установил Zentyal 7.0.4). Развернул общие ресурсы. и столкнулся с такой ерундой- в моей сети есть измерительный комплекс крутящийся на WindowsXP. И вот этот динозавр через сетевое окружение прекрасно заходит на serv1 и видит предоставленные ресурсы. а при попытке зайти на serv2 выводит интересную запись "дополнительные подключения к этому удаленному компьютеру в настоящие время невозможны, поскольку число подключений к компьютеру достигло предела" .Все ПК время синхронизировано. Куда копать? c данной машины данные сохраняются в папочку на serv2.
-
Пробовали ХР перезагружать? Может это у него число подключений закончилось? В виндах такое любят.
На сервере проверить в настройках самбы параметр
server max protocol = SMB3
-
Пробовал не помогло.
В самбе
[global]
bind interfaces only = Yes
client max protocol = SMB3
client min protocol = NT1
interfaces = lo eth0 eth1 br1
ldap server require strong auth = No
log file = /var/log/samba/samba.log
map to guest = Bad User
max log size = 100000
ntlm auth = ntlmv1-permitted
passdb backend = samba_dsdb
realm = YA-MA.LAN
server role = active directory domain controller
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
server signing = if_required
server string = Zentyal Server
template homedir = /home/%U
template shell = /usr/bin/bash
winbind enum groups = Yes
winbind enum users = Yes
workgroup = YA-MA
rpc_server:tcpip = no
rpc_daemon:spoolssd = embedded
rpc_server:spoolss = embedded
rpc_server:winreg = embedded
rpc_server:ntsvcs = embedded
rpc_server:eventlog = embedded
rpc_server:srvsvc = embedded
rpc_server:svcctl = embedded
rpc_server:default = external
winbindd:use external pipes = true
idmap_ldb:use rfc2307 = yes
drs:max object sync = 1200
dsdb:schema update allowed = yes
server role check:inhibit = yes
idmap config * : backend = tdb
include = /etc/samba/shares.conf
map archive = No
vfs objects = dfs_samba4 acl_xattr
Думаю в выделенных свойствах дело . но что именно не пойму
В сети есть пк на win10
-
Попробуй дописать шару с гостевым доступом:
[test]
path = /mnt/data/testdir
writable = yes
public = yes
guest ok = yes
create mask = 0755
directory mask = 0755
-
Не помогло
-
в конце концов помогла строчка
server min protocol = NT1
пришлось прописать в шаблон
-
Вернемся к началу.
Напомню. имеются Server1 (5.0.10)Шлюз(имеется внешка + 3 подсети офис, видео наблюдение, станки ),dhcp,dns,Контролер домена, http прокси.
Server2 (7.0.4)Дополнительный контролер домена, SoGO, общие папки
Подскажите как мне обновить Server1 до версии 7.0.4?
наблюдаю постоянную рассинхронизацию пользователей Грешу на сильное различие в версиях
либо перевести ф-ю Центрального контролера на Server2 ??
-
Недавно пытался обновиться и ничсего не вышло с этого. На разные версии и по порядку и с перескоками и через синхронизацию и вручную. Лажа просто какая-то. Там версии деревьев, малейшее различие и попа. Если у тебя оно хоть как-то там синхронизуется уже хорошо.
Забрать роли всегда можно через консоль.
https://wiki.samba.org/index.php/Samba-tool-external
Просмотр текущего состояния:
# samba-tool fsmo show
Штатная передача роли:
# samba-tool fsmo transfer --role=rid
Если контроллер домена вышел из строя передаем роли принудительно:
# samba-tool fsmo seize --role=rid
Список возможных ролей:
- rid
- pdc
- infrastructure
- schema
- naming
Для себя решил уйти от модели AD и сейчас не ввожу машины в домен и не создаю доменных пользователей. Есть прога для преобразования доменного профиля в локальный. AD было актуально для сетей старого типа, где одна локалка и куча компов. Сегодня работаем через VPN в облаке и нам этот AD уже как зайцу колесо.
-
Недавно пытался обновиться и ничсего не вышло с этого. На разные версии и по порядку и с перескоками и через синхронизацию и вручную. Лажа просто какая-то. Там версии деревьев, малейшее различие и попа. Если у тебя оно хоть как-то там синхронизуется уже хорошо.
Забрать роли всегда можно через консоль.
https://wiki.samba.org/index.php/Samba-tool-external
Просмотр текущего состояния:
# samba-tool fsmo show
Штатная передача роли:
# samba-tool fsmo transfer --role=rid
Если контроллер домена вышел из строя передаем роли принудительно:
# samba-tool fsmo seize --role=rid
Список возможных ролей:
- rid
- pdc
- infrastructure
- schema
- naming
Для себя решил уйти от модели AD и сейчас не ввожу машины в домен и не создаю доменных пользователей. Есть прога для преобразования доменного профиля в локальный. AD было актуально для сетей старого типа, где одна локалка и куча компов. Сегодня работаем через VPN в облаке и нам этот AD уже как зайцу колесо.
А можно, поподробнее про облако, что за облако используете?
-
Ну как "облако"... скорее куча серверов и сервисов. Сделали себе веб панель для работы. Сетевые папки webdav на сервере, nextcloud для обмена файлами, почта... всё такое. Люди работают из дому или ещё откуда удалённо, а если нужен доступ к закрытым наружу ресурсам или RDP то по VPN подключаются и считай как в офисе, был бы интернет стабильный. Некоторые вовсе перестали на работу приезжать или ездят через день - экономят время и деньги. С ноутбуков, планшетов, даже умудряются со смартфона срочные дела делать. Сам тоже пользуюсь, очень удобно. Редактируешь файлик на диске webdav, приехал домой, открываешь и дальше. Виртуалок запустили кучу. Настроили 3CX, в офис купили "стационарные" чтоб на столе стояло нечто похожее на телефон плюс каждый у себя в смартфоне подключил и всё - связь есть, можно звонки принимать, пересылать, конференции... Строили осознанно под linux чтоб не связываться и не страдать от политики майкрософт и чтоб работало, виндячие только компьютеры пользователей. Велосипедов старались не изобретать, выбирали из популярных отлаженных. Можно сказать что практически нет проблем, всё хорошо работает в итоге. На сегодня большой выбор серверных приложений с ориентацией на такие задачи, не то что раньше было, всё локальное, у каждого на компьютере. Стало ощутимо надёжнее, нет опасности утери данных при отказе компьютера пользователя, удобно контролировать доступ. Интернет нынче достаточно скоростной, по сети обмен данными выше чем с локальным HDD. Только успевай покупать в кластер новые диски и запихивать. AD при этом никак не участвует и нафиг не нужна, больше мешает. Само по себе AD морально устаревшая концепция инструмента администрирования. Сегодня вместо администрировать пользовательские машины выгоднее администрировать сервисы и доступ пользователей к ним.
-
Приветствую всех. Проблему не решил. Как посоветовали перевел все роли на сервер server2. В веб интерфейсе указал примари контроллер домена. Перезагрузился и получил пустой список пользователей!!! те пользователи не перенеслись.
есть идеи