Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - luha

Pages: [1] 2 3 ... 32
1
Кстати, забыл упомянуть. Для zentyal все основные файлы настроек генерируются из шаблонов /usr/share/zentyal/stubs/

Если что-то надо поправить, дописать параметр или ещё что-то в конфигах поделать... то идём шаблоны zentyal править. Поэтому не в /etc/samba/smb.conf нужно вносить правки для самбы, а в /usr/share/zentyal/stubs/samba/smb.conf.mas

2
Склоняюсь к тому что это не на стороне клиента профиль портится и не на стороне сервера. Скорее всего проблема по середине - в сетевых настройках и общей её работе. Не может быть так чтобы какой-то профиль 50/50 первый раз запустился, а потом 50/50 тоже самое на другой машине, если он на сервере испорчен, а на клиенте только создаётся.

В сети мастер-браузер выбирается голосованием между компьютерами если уже нет такого сервера, приписанного как мастер-браузер администратором. От обычных компьютеров сервер мастер-браузера отличается высоким приоритетом, который и обеспечивает ему выигрывание выборов. У обычных компьютеров приоритет по умолчанию довольно низкий и случайно они станут мастер-браузером если сеть не администрируется и состоит только из компов пользователей. В общем-то это основы построения сетей, правда сейчас новые виндоусы (с 10-й версии) хотят другое построение, без старых протоколов и поэтому если совсем сеть не админится там не только из-за мастер-браузера половины компов не видно, но и конфликтуют десятки с семёрками.

читаем MAN SAMBA

os level (G)

    This integer value controls what level Samba advertises itself as for browse elections. The value of this parameter determines whether nmbd(8) has a chance of becoming a local master browser for the workgroup in the local broadcast area.

    Note: By default, Samba will win a local master browsing election over all Microsoft operating systems except a Windows NT 4.0/2000 Domain Controller. This means that a misconfigured Samba host can effectively isolate a subnet for browsing purposes. This parameter is largely auto-configured in the Samba-3 release series and it is seldom necessary to manually override the default setting. Please refer to the chapter on Network Browsing in the Samba-3 HOWTO document for further information regarding the use of this parameter. Note: The maximum value for this parameter is 255. If you use higher values, counting will start at 0!

    Default: os level = 20
    Example: os level = 65


... в файле /etc/samba/smb.conf установить параметр "os level = 200" и этот компьютер всегда будет мастер-браузером в сети. При условии что физически сеть всегда поднята, роутеры со свичами правильно настроены, провода нигде не обрываются периодически, не происходит спонтанных разрывов сегментов, нет петель... а иначе ещё не такие будут чудеса.



Билеты Цербера. Тут я имел в виду что в АД профиль это не тот "профиль" который приходит в голову, а другой "профиль" и часто по факту это вообще не "профиль" а билетик Цербера - иначе говоря просто разрешение на доступ. И вот если не удалось с Цербером договориться, нет билетика и он не пропустил то и работать не будет.


Что нужно делать.

Проверять сеть. Искать петли - чтобы вдруг не оказалось что витая пара где-то кругом соединяется... пошла... пошла... переткулась... тут в свичь... там в свичь... через сервак... через телефон... а в итоге обратно вторым концом пришла. Современные сетевые устройства умеют подавлять шторм, но не будут подавлять другие проблемы и глюки.

Проверять настройки на серверах. Чтобы DHCP правильно давал внутренний DNS и WINS... настроить zentyal единственным мастер-браузером (выше написал как). По идее сам зенчал и должен быть DNS сервером. Очевидно клиенты (имеются в виду компьютеры) должны понимать топологию сети и домена, знать в каком домене они находятся, кто этот домен контролирует и где Цербер сидит.

Проверить роли FSMO

Проверить на WinSrever кто из серверов AD какими ролями FSMO обладает:
netdom query fsmo

В linux:
samba-tool fsmo show

3
Ну так вот же, всё написано - ошибка конкретно в том, что НА СЕРВЕРЕ отсутствует, или по другим причинам не доступен профиль пользователя. Даже рекомендации даны - проверить параметры безопасности и сетевое соединение.

По стороне клиента сверить время с серверным - при отбегании более чем на 5 минут пользователь не загрузится по причинам безопасности. Проверить видимость сервера по сети, возможно неверно настроен WINS и так называемый сетевой "мастер-браузер" (это компьютер в сети, взявший на себя функцию администрирования списка локальных машин). Должен быть только один мастер-браузер, а иначе сеть поделится и часть машин, включая и доменный контроллер, могут быть недоступны в сегменте сети.

Не использовать в домене названий кирилицей т.к. в разных кодировках символы интерпретируются по разному. Компьютеры и пользователей лучше называть латинскими знаками. Особенно учитывая что домен построен в среде линукс где UTF8. Разные там системные названия, папок с файлами... испанксие или китайские или арабские справа на лево - путь к гемморою админа.

Не понял как вы этими профилями пользуетесь. На разных компьютерах логинитесь на один сетевой профиль? И что в итоге, на всех компьютерах этот профиль не загружается или только на части компьютеров? Если попробовать залогиниться этим профилем на новом компьютере, где никогда профилем не пользовались тоже ошибка? В домене идентификация на билетах Цербера (собака такая). Не только для входа в винду, но и в других приложениях можно использовать. Если профиль не работает на новом компьютере, где им не логинились, но другой профиль, которым тоже там не логинились никогда, работает, то проблема с конкретным профилем на сервере. Если работает только профиль, который там уже был, а другие профили не работают (и глючные и типа рабочие), то это проблема сети т.к. существующий профиль может работать оффлайн некоторое время, без связи с контроллером домена.

4
Может домен переносился в зенчал с виндового сервера и были проблемы с лицензией или пробовали настроить удалённые рабочие столы на сервере или как-то редактировались пользовательские аккаунты в домене... в любом случае не помешает проверить доменные политики.

Гугл по запросу "windows временный рабочий стол домен" выдаёт много всякого, из чего можно вычленить основную информацию о том что профиль пользователя испорчен и система не может его использовать, поэтому чтоб хоть как-то загрузиться создаёт временный. Как показано на видео ниже пользователи пытаются чинить профиль двумя способами: или вручную активируя через реестр бэкап старого профиля, или более радикально - создавая новый профиль.

https://www.youtube.com/watch?v=cX27pYaLr7I

Но это всё не конкретно про домен! Поэтому я бы ещё обратил внимание на утилитку для переключения профиля с доменного на локальный и обратно (profwiz)
https://www.forensit.com/downloads.html

5
Russian / Re: Рассинхронизация серверов
« on: July 27, 2022, 10:14:47 am »
Ну как "облако"... скорее куча серверов и сервисов. Сделали себе веб панель для работы. Сетевые папки webdav на сервере, nextcloud для обмена файлами, почта... всё такое. Люди работают из дому или ещё откуда удалённо, а если нужен доступ к закрытым наружу ресурсам или RDP то по VPN подключаются и считай как в офисе, был бы интернет стабильный. Некоторые вовсе перестали на работу приезжать или ездят через день - экономят время и деньги. С ноутбуков, планшетов, даже умудряются со смартфона срочные дела делать. Сам тоже пользуюсь, очень удобно. Редактируешь файлик на диске webdav, приехал домой, открываешь и дальше. Виртуалок запустили кучу. Настроили 3CX, в офис купили "стационарные" чтоб на столе стояло нечто похожее на телефон плюс каждый у себя в смартфоне подключил и всё - связь есть, можно звонки принимать, пересылать, конференции... Строили осознанно под linux чтоб не связываться и не страдать от политики майкрософт и чтоб работало, виндячие только компьютеры пользователей. Велосипедов старались не изобретать, выбирали из популярных отлаженных. Можно сказать что практически нет проблем, всё хорошо работает в итоге. На сегодня большой выбор серверных приложений с ориентацией на такие задачи, не то что раньше было, всё локальное, у каждого на компьютере. Стало ощутимо надёжнее, нет опасности утери данных при отказе компьютера пользователя, удобно контролировать доступ. Интернет нынче достаточно скоростной, по сети обмен данными выше чем с локальным HDD. Только успевай покупать в кластер новые диски и запихивать. AD при этом никак не участвует и нафиг не нужна, больше мешает. Само по себе AD морально устаревшая концепция инструмента администрирования. Сегодня вместо администрировать пользовательские машины выгоднее администрировать сервисы и доступ пользователей к ним.

6
Russian / Re: Рассинхронизация серверов
« on: July 01, 2022, 03:22:32 pm »
Недавно пытался обновиться и ничсего не вышло с этого. На разные версии и по порядку и с перескоками и через синхронизацию и вручную. Лажа просто какая-то. Там версии деревьев, малейшее различие и попа. Если у тебя оно хоть как-то там синхронизуется уже хорошо.

Забрать роли всегда можно через консоль.

https://wiki.samba.org/index.php/Samba-tool-external

Просмотр текущего состояния:
# samba-tool fsmo show

Штатная передача роли:
# samba-tool fsmo transfer --role=rid

Если контроллер домена вышел из строя передаем роли принудительно:
# samba-tool fsmo seize --role=rid

Список возможных ролей:
- rid
- pdc
- infrastructure
- schema
- naming

Для себя решил уйти от модели AD и сейчас не ввожу машины в домен и не создаю доменных пользователей. Есть прога для преобразования доменного профиля в локальный. AD было актуально для сетей старого типа, где одна локалка и куча компов. Сегодня работаем через VPN в облаке и нам этот AD уже как зайцу колесо.

7
Привет! Была уже тема.

https://forum.zentyal.org/index.php/topic,30948.0.html

Если кратко то достаточно сгенерировать сертификат любым способом и подменить. Как по мне правильнее будет подменять на нормальный, но если доступ "только для своих" можно и самоподписаный. В морде зенчала есть функция генерации. Не пользовался, но по идее само и подменит где надо.

НО! Не забываем что корневые сертификаты тоже стареют, плюс за столько лет стандарт шифрования и всё такое успели смениться. Это основные причины почему старое оборудование перестаёт работать с удалёнными службами - корневые и шифрование. Так что на Let's Encrypt скорее всего не прокатит заменить и другие. И очевидно что в любом случае старый сервер будет испытывать проблемы с обслуживанием. Нужно сервер обновлять пока колом не стал.

8
Russian / Re: spamhaus взбесился
« on: May 02, 2022, 03:13:59 pm »
Видимо придётся этот ip-лист отключить.

Помню когда-то RHSBL неожиданно умер посреди дороги и пришлось закомментировать в
/usr/share/spamassassin/20_dnsbl_tests.cf

Или в
/usr/share/zentyal/stubs/mailfilter/local.cf.mas
можно поставить нулевой приоритет

Не знаю какая у тебя версия системы, пути могут отличаться.

9
Russian / Re: Рассинхронизация серверов
« on: March 21, 2022, 01:15:01 pm »
Попробуй дописать шару с гостевым доступом:

[test]
  path = /mnt/data/testdir
  writable = yes
  public = yes
  guest ok = yes
   create mask = 0755
   directory mask = 0755

10
Russian / Re: Рассинхронизация серверов
« on: March 21, 2022, 11:52:01 am »
Пробовали ХР перезагружать? Может это у него число подключений закончилось? В виндах такое любят.

На сервере проверить в настройках самбы параметр
server max protocol = SMB3

11
Ну да. Странное дело. Пишут что всё автоматом синхронизируется между мастером и слэйвом:

Quote
С этого момента информация LDAP, домен DNS, связанный с Samba (локальный домен) и Kerberos, будут синхронизироваться в обоих направлениях. Можно управлять информацией LDAP (пользователи, группы, OU ...) в любом из контроллеров. Изменения, внесенные в любой из контроллеров, будут автоматически реплицированы на другие контроллеры.

... и тут же:

Quote
Предупреждение: каталог SYSVOL и, следовательно, объекты групповой политики не будут автоматически синхронизироваться между контроллерами домена. Команда Samba предлагает несколько обходных путей
(ну и там затёры про rsync идут)

Так-то rsync это тупо средство по бырому скопировать файлы локально или по сети с функцией синхронизации. Обычно его используют для резервного копирования. Я сам активно пользуюсь именно для синхронизации по сети с целью бэкапа по цепочке - один сервер синхронизируется со вторым, второй высылает файлы на третий без синхронизации (в режиме докидывания новых, без удаления старых). Дело в том что у rsync есть очень много подводных камней и надо иметь опыт работы с ним. Сама синхронизация происходит довольно долго и для данных которые должны быстро обновляться это не вариант. Плюс можно легко похерить себе бэкап или что угодно при синхронизации, если на источнике началась мутень т.к. подразумевается что источник полностью исправен и данные чистые. Сам rsync ни за что не отвечает и ничего не контролирует - тупо валит и трава не рости после него. Безопастность - если не достаточно уделить внимания настройки rsync легко кто угодно прочитает ваши данные с сервера. Rsync по умолчанию никак не защищён и принимает любые подключения откуда угодно без пароля... пароль и ограничения админ сам должен мутить (и естественно это надо обязательно мутить сразу же). И вот мы приходим к весёлому итогу - хорошо если мастер резко накрылся и не синхронизировал байдой слэйв. Приличный софт (mysql, bind... прочее) никогда такое не предложат сделать а позаботились о синхронизации сами, хотя тоже можно было бы скинуть на rsync. ))

В общем разрабы предлагают костыли. Ну ОК.

Так что, смотрели вы на новое облачное AD от майков? https://azure.microsoft.com/ru-ru/services/active-directory/#features

Там даже есть бесплатный тариф. Зенчал для AD это тупо локальный эмулятор виндоус-сервера с условиям что нужны только самые основные его функции. И почта и всё остальное построено на аналогах, естественно точно так же не работает. Как только появляется желание воспользоваться прям всеми благами технологии открывается вид на поле граблей. По опыту знаю. Это и убило все наши телодвижения. Не потому мы не пользовались политиками и прочим что не нужно нам это было, а от того что у зенчала нет инструментария. Элементарно пришлось всех на Thunderbird пересаживать с оутлука т.к. никакого эксченжа на самом деле нет и не даже пахнет. Потом помню мутил синхронизацию общих контактов, рабочего пространства... а потом тандербирд обновили и всё накрылось тазиком. Так и живём. Линукс это круто, если не примешивать туда виндоус.


P.S. Написали столько кода и не смогли такую простую вещь как синхронизация политик реализовать! А всего-то надо было несколько файликов по сети перекинуть автоматом. Пффф

12
Политиками никакими не пользовались, ПО по сети не устанавливали, диски не подключали автоматом. У нас каждое рабочее место не типичное - дизайнер, менеджер продаж, обработка... никак не получится рулить политиками, всёравно нужно индивидуально делать.

С rsync любой линукс прекрасно работает, но что вы хотите синхронизировать? Папки с данными? Тогда да, будет отлично синхронизировать, но с опозданием, конечно. Если речь о системных настройках контроллера, то это не через rsync по идее.

DHCP в каждой подсети желательно делать свой отдельный. Зенчал как DHCP и DNS очень хорошо работает, особенно радует наличие удобной вебморды. DNS тоже можно синхронизировать между серверами, но лучше отдельно настраивать для кажой подсети.

13
Если с нуля настраивать то скорее всего будет хорошо работать. Главное не злоупотреблять русской и прочей отличной от английской локали в названиях групп, пользователей и другого. Зенчал отличная система как альтернатива MS.

НО! На сегодня AD уже чуть более чем полностью морально устарела. Актуально строить инфраструктуру в облаке azure от майков. Дело как раз в изменившемся концепте - раньше стандартом была большая рабочая локалка, а сейчас стандарт это куча перемещающихся клиентов, удалённая работа и изолированные сети. Я вот сам не строил ничего в азуре, но коллега начал пользоваться и рассказывал что очень удобно, можно управлять компами, принтерами, серверами и всем чем нужно на более высоком уровне. И клиенты тоже у него очень довольны, всем нравится. Короче майкрософт сменила направление и судя по всему это было удачное решение, а про старую AD они забыли и забили.

Когда-то мигрировал локальный домен на виндосервере в зенчал 3.4 и уже тогда нужно было поднять уровень леса до определённого и только потом переносить. Годами работало без проблем, спасибо зенчалу. Сейчас захотел обновить систему и пересесть на 7 зенчал. Не знаю в чём дело, может быть снова вопрос с уровнем леса или что-то такое. План был подцепить слэйв, а потом забрать роли... к 7-му не цепляет, к 6-му не цепляет, к 5-му не цепляет, к 4-му даже не цепляет!!! Капец какой-то. Логинит админа домена, начинает репликацию и на середине процесса вылетает с волшебной ошибкой что не может найти самбу! О_о А до этого мог, но где-то потерял по дороге. ))

Короче в итоге посоветовались что делать, оценили насколько сильно мы вообще пользуемся функционалом AD и оказалось что практически никак не используем. Исторически новый комп вгонялся в домен, а пользователь получал логин. И всё. Нарыл волшебную программку для преобразования доменного профиля в локальный и потиху мигрируем с AD в рабочую группу.

Это я к тому что прежде чем начинать городить хорошо подумайте, а нужен ли вам AD. Особенно актуально, в нынешних условиях. Ведь AD уже морально устарела. Если реально надо администрировать рабочую инфраструктуру, базирующуюся на решениях от майкрософт, то попробуйте ознакомится с их облаком азур - это актуальное современное решение. Да, оно платное, но локальный MS сервер тоже платный в той же степени, а может и в большей. А вот если так же как и в нашем случае по правде говоря нет у вас ничего кроме профилей пользователей... ну... а нафига оно вообще тогда надо? Доступ к общим ресурсам и без АД отлично админится, почта тоже, ftp (так же морально устаревшая тема).

14
А я вот попытался с 3.4 перейти на актуальную версию методом подключения нового сервера как второго с последующим перехватом ролей. Фиг там. И 7-ю и 6-ю версии грузил - ни в какую не подхватывает мастера. Если настроить изначально как контроллер домена (типа с нуля) то на первый взгляд всё хорошо, можно начинать строить фирму. Если попытаться воткнуться в существующую инфраструктуру то самба не стартует, ругань в логах, ничего не работает, репликация не происходит. Вариант с переносом резервной копии тоже не катит т.к. пароли не переносятся и в резервной копии их нет. Зачем она вообще нужна без паролей, эта копия? Не понятно. Потратил несколько дней на этот шум, дошёл до голой самбы и фактически самостоятельной сборке нужного в одну кучку, а потом посмотрел и решил что не так уж сильно мне нужен морально устаревший бесполезный AD.

Ничего удивительного что проект zentyal загибается. Для этого всё сделали - пользоваться невозможно.

15
Наверное уже неактуально, но обновление на Зенчал 7.0 очень подробно расписано вот тут.
https://doc.zentyal.org/en/upgrade.html
Если следовать описанным в документации рекомендациям, то все прекрасно обновляется.

Сами вы пробовали обновляться по этой инструкции? Там куча "но" и "если".

Pages: [1] 2 3 ... 32