Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - luha

Pages: [1] 2 3 ... 32
1
Нужно указать каким сервером DNS будет пользоваться сам зенчал и настроить пересылку. В закладке DNS в секцию "Forwarder" вписать внешний сервер (8.8.8.8 и 1.1.1.1 или провайдерский чтоб тов.майора порадовать).

2
Нужно проверить настройки DHCP сервера, а точнее какой там указан сервер DNS. На компьютере пользователя посмотреть свойства подключения на тот же предмет поиска.

3
Если по имени не пингуется а по ip пингуется то это к DNS.

4
Кстати, забыл упомянуть. Для zentyal все основные файлы настроек генерируются из шаблонов /usr/share/zentyal/stubs/

Если что-то надо поправить, дописать параметр или ещё что-то в конфигах поделать... то идём шаблоны zentyal править. Поэтому не в /etc/samba/smb.conf нужно вносить правки для самбы, а в /usr/share/zentyal/stubs/samba/smb.conf.mas

5
Склоняюсь к тому что это не на стороне клиента профиль портится и не на стороне сервера. Скорее всего проблема по середине - в сетевых настройках и общей её работе. Не может быть так чтобы какой-то профиль 50/50 первый раз запустился, а потом 50/50 тоже самое на другой машине, если он на сервере испорчен, а на клиенте только создаётся.

В сети мастер-браузер выбирается голосованием между компьютерами если уже нет такого сервера, приписанного как мастер-браузер администратором. От обычных компьютеров сервер мастер-браузера отличается высоким приоритетом, который и обеспечивает ему выигрывание выборов. У обычных компьютеров приоритет по умолчанию довольно низкий и случайно они станут мастер-браузером если сеть не администрируется и состоит только из компов пользователей. В общем-то это основы построения сетей, правда сейчас новые виндоусы (с 10-й версии) хотят другое построение, без старых протоколов и поэтому если совсем сеть не админится там не только из-за мастер-браузера половины компов не видно, но и конфликтуют десятки с семёрками.

читаем MAN SAMBA

os level (G)

    This integer value controls what level Samba advertises itself as for browse elections. The value of this parameter determines whether nmbd(8) has a chance of becoming a local master browser for the workgroup in the local broadcast area.

    Note: By default, Samba will win a local master browsing election over all Microsoft operating systems except a Windows NT 4.0/2000 Domain Controller. This means that a misconfigured Samba host can effectively isolate a subnet for browsing purposes. This parameter is largely auto-configured in the Samba-3 release series and it is seldom necessary to manually override the default setting. Please refer to the chapter on Network Browsing in the Samba-3 HOWTO document for further information regarding the use of this parameter. Note: The maximum value for this parameter is 255. If you use higher values, counting will start at 0!

    Default: os level = 20
    Example: os level = 65


... в файле /etc/samba/smb.conf установить параметр "os level = 200" и этот компьютер всегда будет мастер-браузером в сети. При условии что физически сеть всегда поднята, роутеры со свичами правильно настроены, провода нигде не обрываются периодически, не происходит спонтанных разрывов сегментов, нет петель... а иначе ещё не такие будут чудеса.



Билеты Цербера. Тут я имел в виду что в АД профиль это не тот "профиль" который приходит в голову, а другой "профиль" и часто по факту это вообще не "профиль" а билетик Цербера - иначе говоря просто разрешение на доступ. И вот если не удалось с Цербером договориться, нет билетика и он не пропустил то и работать не будет.


Что нужно делать.

Проверять сеть. Искать петли - чтобы вдруг не оказалось что витая пара где-то кругом соединяется... пошла... пошла... переткулась... тут в свичь... там в свичь... через сервак... через телефон... а в итоге обратно вторым концом пришла. Современные сетевые устройства умеют подавлять шторм, но не будут подавлять другие проблемы и глюки.

Проверять настройки на серверах. Чтобы DHCP правильно давал внутренний DNS и WINS... настроить zentyal единственным мастер-браузером (выше написал как). По идее сам зенчал и должен быть DNS сервером. Очевидно клиенты (имеются в виду компьютеры) должны понимать топологию сети и домена, знать в каком домене они находятся, кто этот домен контролирует и где Цербер сидит.

Проверить роли FSMO

Проверить на WinSrever кто из серверов AD какими ролями FSMO обладает:
netdom query fsmo

В linux:
samba-tool fsmo show

6
Ну так вот же, всё написано - ошибка конкретно в том, что НА СЕРВЕРЕ отсутствует, или по другим причинам не доступен профиль пользователя. Даже рекомендации даны - проверить параметры безопасности и сетевое соединение.

По стороне клиента сверить время с серверным - при отбегании более чем на 5 минут пользователь не загрузится по причинам безопасности. Проверить видимость сервера по сети, возможно неверно настроен WINS и так называемый сетевой "мастер-браузер" (это компьютер в сети, взявший на себя функцию администрирования списка локальных машин). Должен быть только один мастер-браузер, а иначе сеть поделится и часть машин, включая и доменный контроллер, могут быть недоступны в сегменте сети.

Не использовать в домене названий кирилицей т.к. в разных кодировках символы интерпретируются по разному. Компьютеры и пользователей лучше называть латинскими знаками. Особенно учитывая что домен построен в среде линукс где UTF8. Разные там системные названия, папок с файлами... испанксие или китайские или арабские справа на лево - путь к гемморою админа.

Не понял как вы этими профилями пользуетесь. На разных компьютерах логинитесь на один сетевой профиль? И что в итоге, на всех компьютерах этот профиль не загружается или только на части компьютеров? Если попробовать залогиниться этим профилем на новом компьютере, где никогда профилем не пользовались тоже ошибка? В домене идентификация на билетах Цербера (собака такая). Не только для входа в винду, но и в других приложениях можно использовать. Если профиль не работает на новом компьютере, где им не логинились, но другой профиль, которым тоже там не логинились никогда, работает, то проблема с конкретным профилем на сервере. Если работает только профиль, который там уже был, а другие профили не работают (и глючные и типа рабочие), то это проблема сети т.к. существующий профиль может работать оффлайн некоторое время, без связи с контроллером домена.

7
Может домен переносился в зенчал с виндового сервера и были проблемы с лицензией или пробовали настроить удалённые рабочие столы на сервере или как-то редактировались пользовательские аккаунты в домене... в любом случае не помешает проверить доменные политики.

Гугл по запросу "windows временный рабочий стол домен" выдаёт много всякого, из чего можно вычленить основную информацию о том что профиль пользователя испорчен и система не может его использовать, поэтому чтоб хоть как-то загрузиться создаёт временный. Как показано на видео ниже пользователи пытаются чинить профиль двумя способами: или вручную активируя через реестр бэкап старого профиля, или более радикально - создавая новый профиль.

https://www.youtube.com/watch?v=cX27pYaLr7I

Но это всё не конкретно про домен! Поэтому я бы ещё обратил внимание на утилитку для переключения профиля с доменного на локальный и обратно (profwiz)
https://www.forensit.com/downloads.html

8
Russian / Re: Рассинхронизация серверов
« on: July 27, 2022, 10:14:47 am »
Ну как "облако"... скорее куча серверов и сервисов. Сделали себе веб панель для работы. Сетевые папки webdav на сервере, nextcloud для обмена файлами, почта... всё такое. Люди работают из дому или ещё откуда удалённо, а если нужен доступ к закрытым наружу ресурсам или RDP то по VPN подключаются и считай как в офисе, был бы интернет стабильный. Некоторые вовсе перестали на работу приезжать или ездят через день - экономят время и деньги. С ноутбуков, планшетов, даже умудряются со смартфона срочные дела делать. Сам тоже пользуюсь, очень удобно. Редактируешь файлик на диске webdav, приехал домой, открываешь и дальше. Виртуалок запустили кучу. Настроили 3CX, в офис купили "стационарные" чтоб на столе стояло нечто похожее на телефон плюс каждый у себя в смартфоне подключил и всё - связь есть, можно звонки принимать, пересылать, конференции... Строили осознанно под linux чтоб не связываться и не страдать от политики майкрософт и чтоб работало, виндячие только компьютеры пользователей. Велосипедов старались не изобретать, выбирали из популярных отлаженных. Можно сказать что практически нет проблем, всё хорошо работает в итоге. На сегодня большой выбор серверных приложений с ориентацией на такие задачи, не то что раньше было, всё локальное, у каждого на компьютере. Стало ощутимо надёжнее, нет опасности утери данных при отказе компьютера пользователя, удобно контролировать доступ. Интернет нынче достаточно скоростной, по сети обмен данными выше чем с локальным HDD. Только успевай покупать в кластер новые диски и запихивать. AD при этом никак не участвует и нафиг не нужна, больше мешает. Само по себе AD морально устаревшая концепция инструмента администрирования. Сегодня вместо администрировать пользовательские машины выгоднее администрировать сервисы и доступ пользователей к ним.

9
Russian / Re: Рассинхронизация серверов
« on: July 01, 2022, 03:22:32 pm »
Недавно пытался обновиться и ничсего не вышло с этого. На разные версии и по порядку и с перескоками и через синхронизацию и вручную. Лажа просто какая-то. Там версии деревьев, малейшее различие и попа. Если у тебя оно хоть как-то там синхронизуется уже хорошо.

Забрать роли всегда можно через консоль.

https://wiki.samba.org/index.php/Samba-tool-external

Просмотр текущего состояния:
# samba-tool fsmo show

Штатная передача роли:
# samba-tool fsmo transfer --role=rid

Если контроллер домена вышел из строя передаем роли принудительно:
# samba-tool fsmo seize --role=rid

Список возможных ролей:
- rid
- pdc
- infrastructure
- schema
- naming

Для себя решил уйти от модели AD и сейчас не ввожу машины в домен и не создаю доменных пользователей. Есть прога для преобразования доменного профиля в локальный. AD было актуально для сетей старого типа, где одна локалка и куча компов. Сегодня работаем через VPN в облаке и нам этот AD уже как зайцу колесо.

10
Привет! Была уже тема.

https://forum.zentyal.org/index.php/topic,30948.0.html

Если кратко то достаточно сгенерировать сертификат любым способом и подменить. Как по мне правильнее будет подменять на нормальный, но если доступ "только для своих" можно и самоподписаный. В морде зенчала есть функция генерации. Не пользовался, но по идее само и подменит где надо.

НО! Не забываем что корневые сертификаты тоже стареют, плюс за столько лет стандарт шифрования и всё такое успели смениться. Это основные причины почему старое оборудование перестаёт работать с удалёнными службами - корневые и шифрование. Так что на Let's Encrypt скорее всего не прокатит заменить и другие. И очевидно что в любом случае старый сервер будет испытывать проблемы с обслуживанием. Нужно сервер обновлять пока колом не стал.

11
Russian / Re: spamhaus взбесился
« on: May 02, 2022, 03:13:59 pm »
Видимо придётся этот ip-лист отключить.

Помню когда-то RHSBL неожиданно умер посреди дороги и пришлось закомментировать в
/usr/share/spamassassin/20_dnsbl_tests.cf

Или в
/usr/share/zentyal/stubs/mailfilter/local.cf.mas
можно поставить нулевой приоритет

Не знаю какая у тебя версия системы, пути могут отличаться.

12
Russian / Re: Рассинхронизация серверов
« on: March 21, 2022, 01:15:01 pm »
Попробуй дописать шару с гостевым доступом:

[test]
  path = /mnt/data/testdir
  writable = yes
  public = yes
  guest ok = yes
   create mask = 0755
   directory mask = 0755

13
Russian / Re: Рассинхронизация серверов
« on: March 21, 2022, 11:52:01 am »
Пробовали ХР перезагружать? Может это у него число подключений закончилось? В виндах такое любят.

На сервере проверить в настройках самбы параметр
server max protocol = SMB3

14
Ну да. Странное дело. Пишут что всё автоматом синхронизируется между мастером и слэйвом:

Quote
С этого момента информация LDAP, домен DNS, связанный с Samba (локальный домен) и Kerberos, будут синхронизироваться в обоих направлениях. Можно управлять информацией LDAP (пользователи, группы, OU ...) в любом из контроллеров. Изменения, внесенные в любой из контроллеров, будут автоматически реплицированы на другие контроллеры.

... и тут же:

Quote
Предупреждение: каталог SYSVOL и, следовательно, объекты групповой политики не будут автоматически синхронизироваться между контроллерами домена. Команда Samba предлагает несколько обходных путей
(ну и там затёры про rsync идут)

Так-то rsync это тупо средство по бырому скопировать файлы локально или по сети с функцией синхронизации. Обычно его используют для резервного копирования. Я сам активно пользуюсь именно для синхронизации по сети с целью бэкапа по цепочке - один сервер синхронизируется со вторым, второй высылает файлы на третий без синхронизации (в режиме докидывания новых, без удаления старых). Дело в том что у rsync есть очень много подводных камней и надо иметь опыт работы с ним. Сама синхронизация происходит довольно долго и для данных которые должны быстро обновляться это не вариант. Плюс можно легко похерить себе бэкап или что угодно при синхронизации, если на источнике началась мутень т.к. подразумевается что источник полностью исправен и данные чистые. Сам rsync ни за что не отвечает и ничего не контролирует - тупо валит и трава не рости после него. Безопастность - если не достаточно уделить внимания настройки rsync легко кто угодно прочитает ваши данные с сервера. Rsync по умолчанию никак не защищён и принимает любые подключения откуда угодно без пароля... пароль и ограничения админ сам должен мутить (и естественно это надо обязательно мутить сразу же). И вот мы приходим к весёлому итогу - хорошо если мастер резко накрылся и не синхронизировал байдой слэйв. Приличный софт (mysql, bind... прочее) никогда такое не предложат сделать а позаботились о синхронизации сами, хотя тоже можно было бы скинуть на rsync. ))

В общем разрабы предлагают костыли. Ну ОК.

Так что, смотрели вы на новое облачное AD от майков? https://azure.microsoft.com/ru-ru/services/active-directory/#features

Там даже есть бесплатный тариф. Зенчал для AD это тупо локальный эмулятор виндоус-сервера с условиям что нужны только самые основные его функции. И почта и всё остальное построено на аналогах, естественно точно так же не работает. Как только появляется желание воспользоваться прям всеми благами технологии открывается вид на поле граблей. По опыту знаю. Это и убило все наши телодвижения. Не потому мы не пользовались политиками и прочим что не нужно нам это было, а от того что у зенчала нет инструментария. Элементарно пришлось всех на Thunderbird пересаживать с оутлука т.к. никакого эксченжа на самом деле нет и не даже пахнет. Потом помню мутил синхронизацию общих контактов, рабочего пространства... а потом тандербирд обновили и всё накрылось тазиком. Так и живём. Линукс это круто, если не примешивать туда виндоус.


P.S. Написали столько кода и не смогли такую простую вещь как синхронизация политик реализовать! А всего-то надо было несколько файликов по сети перекинуть автоматом. Пффф

15
Политиками никакими не пользовались, ПО по сети не устанавливали, диски не подключали автоматом. У нас каждое рабочее место не типичное - дизайнер, менеджер продаж, обработка... никак не получится рулить политиками, всёравно нужно индивидуально делать.

С rsync любой линукс прекрасно работает, но что вы хотите синхронизировать? Папки с данными? Тогда да, будет отлично синхронизировать, но с опозданием, конечно. Если речь о системных настройках контроллера, то это не через rsync по идее.

DHCP в каждой подсети желательно делать свой отдельный. Зенчал как DHCP и DNS очень хорошо работает, особенно радует наличие удобной вебморды. DNS тоже можно синхронизировать между серверами, но лучше отдельно настраивать для кажой подсети.

Pages: [1] 2 3 ... 32