Есть существующий сервер Домен контроллера (SAMBA)
Необходимо поменять его на физически другой сервер на котором все те же настройки.
Опускаю один сервак поднимаю другой а клиентские машины не входят в домен и выдают ошибку что сервер не найден.
Думаю дело в SID.
Кто может помочь или посоветовать?
>Есть существующий сервер Домен контроллера (SAMBA)
>Необходимо поменять его на физически другой сервер на котором все те же
>настройки.
>Опускаю один сервак поднимаю другой а клиентские машины не входят в домен
>и выдают ошибку что сервер не найден.
>Думаю дело в SID.
>Кто может помочь или посоветовать?
Может нужно сначала реплику провести ???
ИМХО правильное решение такое, делаем еще один контроллер, делаем реплику, убираем старый.
>>Есть существующий сервер Домен контроллера (SAMBA)
>>Необходимо поменять его на физически другой сервер на котором все те же
>>настройки.
>>Опускаю один сервак поднимаю другой а клиентские машины не входят в домен
>>и выдают ошибку что сервер не найден.
>>Думаю дело в SID.
>>Кто может помочь или посоветовать?
>
>
>Может нужно сначала реплику провести ???
>ИМХО правильное решение такое, делаем еще один контроллер, делаем реплику, убираем старый.
>спасибо за совет.
сервера отличаются тем что на 2 сервере авторизаиця идет через LDAP а не smbpasswd. Это не существенно важно?скиньте ссылки на howto по реплике?
>>>Есть существующий сервер Домен контроллера (SAMBA)
>>>Необходимо поменять его на физически другой сервер на котором все те же
>>>настройки.
>>>Опускаю один сервак поднимаю другой а клиентские машины не входят в домен
>>>и выдают ошибку что сервер не найден.
>>>Думаю дело в SID.
>>>Кто может помочь или посоветовать?
>>
>>
>>Может нужно сначала реплику провести ???
>>ИМХО правильное решение такое, делаем еще один контроллер, делаем реплику, убираем старый.
>>
>
>спасибо за совет.
>сервера отличаются тем что на 2 сервере авторизаиця идет через LDAP а
>не smbpasswd. Это не существенно важно?незнаю, но ИМХО правильнее использовать единую схему авторизации
>
>скиньте ссылки на howto по реплике?http://web.vcs.u52.k12.me.us/linux/smbldap/
раздел LDAP configuration
на форуме куча информации по сабжу)))
так у меня надо старый сервер снести и поставить новый (на котором ЛДАП авторизация).
что-то не пойму как можно сделать репликацию с smbpasswd на ldap ???
кстати пробовал менять SID в IDMAP. не помогло. (((
есть ли какие то приемы импорта всего домена (включая SID) а не только юзеров?
>так у меня надо старый сервер снести и поставить новый (на котором
>ЛДАП авторизация).
>что-то не пойму как можно сделать репликацию с smbpasswd на ldap ???
>
>кстати пробовал менять SID в IDMAP. не помогло. (((
>есть ли какие то приемы импорта всего домена (включая SID) а не
>только юзеров?
1. В файл smb.conf старого сервака
убираете строку
smb passwd file = /etc/samba/smbpasswd
добавляете строку
passdb backend = tdbsam:/etc/samba/private/passdb.tdb smbpasswd:/etc/samba/smbpasswd
Местоположение файлов у вас может отличаться
После перезагрузки место хранения аккаунтов изменится на passdb.tdb
2. Снова меняем smb.conf
passdb backend = tdbsam:/etc/samba/private/passdb.tdb
3. Далее читаем здесь http://argo-uln.blogspot.com/2007/03/samba-tdbsamtdb-linux-s... (Перевод домена с samba tdbsam.tdb linux на samba ldap freebsd)
>>так у меня надо старый сервер снести и поставить новый (на котором
>>ЛДАП авторизация).
>>что-то не пойму как можно сделать репликацию с smbpasswd на ldap ???
>>
>>кстати пробовал менять SID в IDMAP. не помогло. (((
>>есть ли какие то приемы импорта всего домена (включая SID) а не
>>только юзеров?
>1. В файл smb.conf старого сервака
>убираете строку
>smb passwd file = /etc/samba/smbpasswd
>добавляете строку
>passdb backend = tdbsam:/etc/samba/private/passdb.tdb smbpasswd:/etc/samba/smbpasswd
>Местоположение файлов у вас может отличаться
>После перезагрузки место хранения аккаунтов изменится на passdb.tdb
>2. Снова меняем smb.conf
>passdb backend = tdbsam:/etc/samba/private/passdb.tdb
>3. Далее читаем здесь http://argo-uln.blogspot.com/2007/03/samba-tdbsamtdb-linux-s... (Перевод домена с samba tdbsam.tdb linux на
>samba ldap freebsd)
а как поменять SID домена? где он хранится?
>>>так у меня надо старый сервер снести и поставить новый (на котором
>>>ЛДАП авторизация).
>>>что-то не пойму как можно сделать репликацию с smbpasswd на ldap ???
>>>
>>>кстати пробовал менять SID в IDMAP. не помогло. (((
>>>есть ли какие то приемы импорта всего домена (включая SID) а не
>>>только юзеров?
>>1. В файл smb.conf старого сервака
>>убираете строку
>>smb passwd file = /etc/samba/smbpasswd
>>добавляете строку
>>passdb backend = tdbsam:/etc/samba/private/passdb.tdb smbpasswd:/etc/samba/smbpasswd
>>Местоположение файлов у вас может отличаться
>>После перезагрузки место хранения аккаунтов изменится на passdb.tdb
>>2. Снова меняем smb.conf
>>passdb backend = tdbsam:/etc/samba/private/passdb.tdb
>>3. Далее читаем здесь http://argo-uln.blogspot.com/2007/03/samba-tdbsamtdb-linux-s... (Перевод домена с samba tdbsam.tdb linux на
>>samba ldap freebsd)
>
>
>а как поменять SID домена? где он хранится?net setlocalsid S-x-x-xxxxxxxxxxxxx
>>>>так у меня надо старый сервер снести и поставить новый (на котором
>>>>ЛДАП авторизация).
>>>>что-то не пойму как можно сделать репликацию с smbpasswd на ldap ???
>>>>
>>>>кстати пробовал менять SID в IDMAP. не помогло. (((
>>>>есть ли какие то приемы импорта всего домена (включая SID) а не
>>>>только юзеров?
>>>1. В файл smb.conf старого сервака
>>>убираете строку
>>>smb passwd file = /etc/samba/smbpasswd
>>>добавляете строку
>>>passdb backend = tdbsam:/etc/samba/private/passdb.tdb smbpasswd:/etc/samba/smbpasswd
>>>Местоположение файлов у вас может отличаться
>>>После перезагрузки место хранения аккаунтов изменится на passdb.tdb
>>>2. Снова меняем smb.conf
>>>passdb backend = tdbsam:/etc/samba/private/passdb.tdb
>>>3. Далее читаем здесь http://argo-uln.blogspot.com/2007/03/samba-tdbsamtdb-linux-s... (Перевод домена с samba tdbsam.tdb linux на
>>>samba ldap freebsd)
>>
>>
>>а как поменять SID домена? где он хранится?
>
>net setlocalsid S-x-x-xxxxxxxxxxxxxодин раз вроде пошло юзер вошел в домен после следующей схемы:
1. прописал в smbldap.conf SID старой машины
2. прописал в smb.conf тот же SID
3. net setlocalsid SID............один пользователь старого домена вошел и работал. но после перезагрузки сервера опять ошибка!
>один раз вроде пошло юзер вошел в домен после следующей схемы:
>1. прописал в smbldap.conf SID старой машины
>2. прописал в smb.conf тот же SID
^^^^^^^^^^^^^^^ как это?
>3. net setlocalsid SID............
>
>один пользователь старого домена вошел и работал. но после перезагрузки сервера опять
>ошибка!
^^^^^^^ какая ошибка (тут не телепаты собрались)
>>один раз вроде пошло юзер вошел в домен после следующей схемы:
>>1. прописал в smbldap.conf SID старой машины
>>2. прописал в smb.conf тот же SID
>
> ^^^^^^^^^^^^^^^ как это?
>>3. net setlocalsid SID............
>>
>>один пользователь старого домена вошел и работал. но после перезагрузки сервера опять
>>ошибка!
>^^^^^^^ какая ошибка (тут не телепаты собрались)cannot connect to Domain и т.д. и т.п. вобщем Виндовс клиенты не видят Домен контр.
>cannot connect to Domain и т.д. и т.п. вобщем Виндовс клиенты не
>видят Домен контр.
выведете компьютер из домена и заведите снова
>
>>cannot connect to Domain и т.д. и т.п. вобщем Виндовс клиенты не
>>видят Домен контр.
>выведете компьютер из домена и заведите снова
с таким же успехом можно было бы поставить новый контр домена инастроить клиентские машины на него."безболезненно" значит клиентская машина до и после замены сервера PDC должна работать в обычном режиме. У меня свыше 60 клиентских машин, на каждом из которых выходить и заходить в домен особого желания нет.
повторяю после проделывания вышеописанных мною действий - это удалось, клиентская машина грузилась и работала с новым сревером PDC, однако после перезагрузки все стало на свои места.
Еще есть советы?
>Еще есть советы?
Я не уверен, но возможно имя контроллера должно совпадать с именем старого
>>Еще есть советы?
>Я не уверен, но возможно имя контроллера должно совпадать с именем старого
>
в системе и в самбе - имя контроллера, имя сервера, sid - все совпадает.
только айпишник другой.
>>>Еще есть советы?
>>Я не уверен, но возможно имя контроллера должно совпадать с именем старого
>>
>
>
>в системе и в самбе - имя контроллера, имя сервера, sid -
>все совпадает.
>только айпишник другой.
:) читаем доку от МС PDC - BDC не о чем не говорит. Из лдапа делаешь бекап контролел. Ждешь реплекации. отключаешь основноц контролек. меняешь роль BDC на PDC. Один раз такое уже сработало 2 года назад.
>:) читаем доку от МС PDC - BDC не о чем не
>говорит. Из лдапа делаешь бекап контролел. Ждешь реплекации. отключаешь основноц контролек.
>меняешь роль BDC на PDC. Один раз такое уже сработало 2
>года назад.
:)
Я может ошибаюсь конечно, но читая доку по SAMBA могу сказать, что не поддерживает Samba
бекап контроллер в конфигурации passdb backend = tdbsam
>
>>:) читаем доку от МС PDC - BDC не о чем не
>>говорит. Из лдапа делаешь бекап контролел. Ждешь реплекации. отключаешь основноц контролек.
>>меняешь роль BDC на PDC. Один раз такое уже сработало 2
>>года назад.
>:)
>Я может ошибаюсь конечно, но читая доку по SAMBA могу сказать, что
>не поддерживает Samba
>бекап контроллер в конфигурации passdb backend = tdbsam
оба варианта репликациине работют:1. через RPC
ns2 ~ # net rpc vampire -S ns -U root%dns
Fetching DOMAIN database
Failed to fetch domain database: NT code 0x1c0100022. через pdbedit
ns2 ~ # pdbedit -i tdbsam:/tmp/tdbsam.tdb
Searching for:[(&(objectClass=sambaDomain)(sambaDomainName=KAFC))]
smbldap_open_connection: connection opened
ldap_connect_system: succesful connection to the LDAP server
Searching for:[(&(objectClass=sambaDomain)(sambaDomainName=KAFC))]
smbldap_open_connection: connection opened
ldap_connect_system: succesful connection to the LDAP server
called with username="(null)"
ldapsam_add_sam_account: Adding new user
init_ldap_from_sam: Setting entry for user: security1
updating bad password fields, policy=0, count=0, time=0
ldapsam_modify_entry: Failed to add user dn= uid=security1,"ou=Users","dc=ns2,dc=aiylbank" with: Invalid DN syntax
invalid DN
ldapsam_add_sam_account: failed to modify/add user with uid = security1 (dn = uid=security1,"ou=Users","dc=ns2,dc=aiylbank")причем smbldap-tools доавбляет без проблем.
где копать люди???
>>>>Еще есть советы?
>>>Я не уверен, но возможно имя контроллера должно совпадать с именем старого
>>>
>>
>>
>>в системе и в самбе - имя контроллера, имя сервера, sid -
>>все совпадает.
>>только айпишник другой.
>
>
>:) читаем доку от МС PDC - BDC не о чем не
>говорит. Из лдапа делаешь бекап контролел. Ждешь реплекации. отключаешь основноц контролек.
>меняешь роль BDC на PDC. Один раз такое уже сработало 2
>года назад.
поменял SID сделал BDC.
жду репликации и не дождусь со вчера. как быть?
реплицировать пришлось вручную через pdbedit -i tdbsam: passwd.tdb
но перед этим завести всех пользователей в ЛДАП через samba ldap тулсы.