Samba4 AD DC настраивается и работает, но не подключается к Windows 7 или 10
Я получил Samba 4 Настройка AD DC в Ubuntu 18.04 LTS. Я использовал этот учебник, чтобы заставить его работать:
https://www.tecmint.com/install-samba4-active-directory-ubuntu/
Проблема в том, что я не могу подключить свои клиенты Windows 7 или 10 к подключиться к домену.
Вот мой файл krb5.conf :
[logging]
default = FILE:/var/log/krb-def.log
kdc = FILE:/var/log/kdc.log
admin_server = FILE:/var/log/lrb-adm.log
[libdefaults]
default_realm = MVPOSERVER.LAN
[realms]
MVPOSERVER.LAN = {
default_domain = mvposerver.lan
kdc = adc1.mvposerver.lan:88
}
Файл моих хостов:
127.0.0.1 localhost
192.168.9.50 mvposerver
192.168.9.50 mvposerver.lan adc1 _kerberos._udp _ldap._tcp _ldap._tcp.dc._msdcs
192.168.9.50 adc1.mvposerver.lan
192.168.9.50 _kerberos._udp.mvposerver.lan
192.168.9.50 _ldap._tcp.mvposerver.lan
192.168.9.50 _ldap._tcp.dc._msdcs.mvposerver.lan
Мой netplan Конфигурация IP:
network:
version: 2
renderer: NetworkManager
ethernets:
enp1s0:
dhcp4: no
dhcp6: no
addresses: [192.168.9.50/24]
gateway4: 192.168.9.250
nameservers:
search: [mvposerver.lan]
addresses: [127.0.0.1, 192.168.9.250]
Конфигурация Samba:
Хост возвращает IP:
# host -t A mvposerver.lan
mvposerver.lan has address 192.168.9.50
Имя хоста сервера - adc1 . klist возвращает созданного администратора, поэтому он подключается:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@MVPOSERVER.LAN
Valid starting Expires Service principal
06/18/2019 15:34:17 06/19/2019 01:34:17 krbtgt/MVPOSERVER.LAN@MVPOSERVER.LAN
renew until 06/19/2019 15:34:14
И samba-tool работает для списка пользователей:
# samba-tool user list
Administrator
krbtgt
Guest
Тем не менее, подключение Windows 7 Pro не возвращает пинг для имени хоста , и он не будет подключаться к контроллеру. Если я пропингую имя хоста mvposerver.lan , которое действительно возвращает IP на самом сервере, он не разрешит его:
Если я пропингую имя Samba NETBIOS, он вернет IP:
Кроме того, я знаю, что Kerberos работает, потому что в Windows 7, если я сделаю свой домен mvposerver вместо mvposerver.lan , он попросит меня подключиться с использованием учетных данных, но затем возникнет ошибка. :
Я также не могу пинговать google.com или любое другое доменное имя из клиента Windows один раз в DNS через DC. Я могу пинговать google.com с сервера DC в терминале нормально, я также могу пинговать 8.8.8.8 с клиента, но не разрешить домен.
EDIT
Я установил Bind9, настроил записи DNS, теперь сервер не пингует свое собственное имя хоста, а также клиент. Но у клиента теперь есть Интернет.
Настройка DNS:
EDIT2
Я обновил свои записи DNS и DNS работает, теперь у клиента есть Интернет и он правильно определяет имена хостов:
Итак, теперь клиент находит DC по имени хоста просто отлично, и он даже находит имя хоста и IP, но не может найти работающее программное обеспечение DC, хотя Samba говорит, что оно есть.
Похоже на проблему с DNS. Я предполагаю, что файл hosts, который вы показали, находится на сервере? Это касается клиентского компонента DNS сервера, а не компонента сервера DNS сервера. Это также не поможет другим клиентам разрешать DNS для AD.
У вас есть DNS-сервер, на котором размещена зона DNS для AD? В противном случае он вам понадобится, и вам необходимо настроить клиентов, которых вы хотите присоединить к домену, для его использования.
Я бы добавил это в конфигурацию SAMBA:
В [Global] добавить:
min протокол = SMB2
Затем перезапустить его.
( SMB1 устарел)
.