forum.opennet.ru - "Не работает ввод машин в домен" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Не работает ввод машин в домен"

Форумы Samba, вопросы интеграции Unix и Windows (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Не работает ввод машин в домен"
Сообщение от maxxim (ok) on 31-Авг-08, 02:40
Имеется локальная сеть на N компьютеров, которые по tcp/ip прекрасно видят друг друга. Поднят samba-сервер 3.0.31 (без ldap, без kerberos) на ALT Linux 4.0 Office Server, в котором создан первичный контроллер домена с несколькими группами и пользователями. Локально аутентификация и просмотр шар работают. Проблемы начинаются, когда я пытаюсь ввести машину с Windows XP (пробовал штук 7, но все XP) в домен: DNS успешно запросила запись ресурса размещения службы (SRV), используемой для выяснения размещения контроллера домена для домена "my.domain": Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.my.domain Этим запросом были идентифицированы следующие контроллеры домена: dc.my.domain К возможным причинам этой ошибки относятся: 1. Записи узлов (A), которые сопоставляют имя контроллера домена его IP-адресам утеряны или содержат неправильные адреса. 2. Котроллеры доменов, зарегистрированные в DNS не подключены к сети или не запущены. Для получения подробной информации щелкните кнопку "Справка". В BIND9 прописана SRV-запись для _ldap._tcp.dc._msdcs.my.domain, которая указывает на порт 139: _ldap._tcp SRV 0 0 139 my.domain. Когда начинаю вводить машину в домен, то пакеты по сети идут не на 139 порт, а на 137: [root@altlinux samba]# /usr/sbin/tcpdump -n port 137 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 02:32:22.828036 IP 192.168.100.13.netbios-ns > 192.168.100.10.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST 02:32:22.829196 IP 192.168.100.10.netbios-ns > 192.168.100.13.netbios-ns: NBT UDP PACKET(137): QUERY; NEGATIVE; RESPONSE; UNICAST 02:32:22.859046 IP 192.168.100.13.netbios-ns > 192.168.100.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 02:32:23.608954 IP 192.168.100.13.netbios-ns > 192.168.100.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 02:32:24.358967 IP 192.168.100.13.netbios-ns > 192.168.100.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST Samba по умолчанию открывает 139 порт: [root@altlinux samba]# netstat -aln \| grep LISTEN \| grep -v STREAM tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN tcp 0 0 192.168.100.11:53 0.0.0.0:* LISTEN tcp 0 0 192.168.100.10:53 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN Заставить её открыть 137 порт без директивы "smb ports" в /etc/samba/smb.conf не получается. А если применить директиву, то абсолютно тоже самое - нет ответа. Следующая команда показывает, что сервер с samba (\\NSERVER) является DMB. [root@altlinux samba]# findsmb =DMB +=LMB IP ADDR NETBIOS NAME WORKGROUP/OS/VERSION --------------------------------------------------------------------- 192.168.100.10 NSERVER [MY.DOMAIN] [Unix] [Samba 3.0.31] 192.168.100.13 FSERVER +[WORKGROUP] [Windows Server 2003 R2 3790 Service Pack 1] [Windows Server 2003 R2 5.2] Соответственно созрел список вопросов: 1. Перерыл кучу материала, но не где не описывается решение данной проблемы. Собственно, такое ощущение, что у всех samba встаёт на ура и клиенты сразу видят PDC. 2. Фаерволл не блокирует пакеты (выключать тоже пробовал, то же самое) [root@altlinux samba]# nmap 192.168.100.10 Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-08-31 02:46 MSD Interesting ports on nserver (192.168.100.10): Not shown: 1672 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 111/tcp open rpcbind 139/tcp open netbios-ssn 445/tcp open microsoft-ds 901/tcp open samba-swat 8080/tcp open http-proxy 3. Обнаружилось, что nmblookup не работает. Похоже, та же самая проблема, что и WinXP. [root@altlinux samba]# nmblookup //nserver added interface ip=192.168.100.10 bcast=192.168.100.255 nmask=255.255.255.0 added interface ip=192.168.100.11 bcast=192.168.100.255 nmask=255.255.255.0 Socket opened. querying //nserver on 192.168.100.255 querying //nserver on 192.168.100.255 name_query failed to find name //nserver tcpdump показал: 03:03:06.844347 IP 192.168.100.10.1030 > 192.168.100.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 03:03:07.131164 IP 192.168.100.10.1030 > 192.168.100.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 03:03:07.407160 IP 192.168.100.10.1030 > 192.168.100.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 03:03:07.683279 IP 192.168.100.10.1030 > 192.168.100.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 03:03:07.959208 IP 192.168.100.10.1030 > 192.168.100.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 03:03:08.235204 IP 192.168.100.10.1030 > 192.168.100.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST Помогите, пожалуйста! :)
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Не работает ввод машин в домен, maxxim, 10:13 , 31-Авг-08, (1)

Не работает ввод машин в домен, maxxim, 19:26 , 31-Авг-08, (2)

Не работает ввод машин в домен, maxxim, 19:44 , 31-Авг-08, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Не работает ввод машин в домен"

Сообщение от maxxim (ok) on 31-Авг-08, 10:13

Накопал следующее (samba также висит на 139):
Если на windows машине выполнить команду "ping \\nserver", то в логах будет выведено:
[root@altlinux samba]# tail -f -n 0 log.nmbd
[2008/08/31 09:48:18, 3] nmbd/nmbd_winsserver.c:wins_process_name_query_request(1892)
  wins_process_name_query: name query for name \\NSERVER<00> from IP 192.168.100.13
[2008/08/31 09:48:18, 3] nmbd/nmbd_winsserver.c:wins_process_name_query_request(1927)
  wins_process_name_query: name query for name \\NSERVER<00> returning DNS fail.
[2008/08/31 09:48:18, 3] nmbd/nmbd_incomingrequests.c:process_name_query_request(454)
  process_name_query_request: Name query from 192.168.100.13 on subnet 192.168.100.10 for name \\NSERVER<00>
[2008/08/31 09:48:18, 3] nmbd/nmbd_incomingrequests.c:process_name_query_request(454)
  process_name_query_request: Name query from 192.168.100.13 on subnet 192.168.100.10 for name \\NSERVER<00>
[2008/08/31 09:48:18, 3] nmbd/nmbd_incomingrequests.c:process_name_query_request(454)
  process_name_query_request: Name query from 192.168.100.13 on subnet 192.168.100.10 for name \\NSERVER<00>
[2008/08/31 09:48:18, 3] nmbd/nmbd_incomingrequests.c:process_name_query_request(454)
  process_name_query_request: Name query from 192.168.100.13 on subnet 192.168.100.10 for name \\NSERVER<00>
[2008/08/31 09:48:19, 3] nmbd/nmbd_incomingrequests.c:process_name_query_request(454)
  process_name_query_request: Name query from 192.168.100.13 on subnet 192.168.100.10 for name \\NSERVER<00>
[2008/08/31 09:48:19, 3] nmbd/nmbd_incomingrequests.c:process_name_query_request(454)
  process_name_query_request: Name query from 192.168.100.13 on subnet 192.168.100.10 for name \\NSERVER<00>
Теперь если в windows убрать DNS (например, некорректно), а оставить WINS, то имена он начинает брать из SAMBA:
[2008/08/31 09:58:21, 3] nmbd/nmbd_winsserver.c:wins_process_name_query_request(1892)
  wins_process_name_query: name query for name NSERVER<00> from IP 192.168.100.13
[2008/08/31 09:58:21, 3] nmbd/nmbd_winsserver.c:wins_process_name_query_request(1944)
  wins_process_name_query: name query for name NSERVER<00> returning first IP 192.168.100.10.
Но DNS требуется для подключения компьютера в домен. Отсюда новые вопросы:
1. В логах появляются имена с суффиксом <ЧИСЛО>. Что это за числа?
2. Пока машины не в домене использовать запись вида \\машина - бессмыслено?
3. Как сделать, чтобы пока нет домена имена распозновались по WINS, а потом уже по DNS?
Ответ на последний вопрос можно сформулировать так:
Можно назвать машины по разному в домене и samba. В доменах использовать полные доменные имена, а в samba короткие, тогда пересечений быть не должно. Кто что думает?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Не работает ввод машин в домен"

Сообщение от maxxim (ok) on 31-Авг-08, 19:26

Оказалось, что всё в порядке с именами.
Когда в консоле набираем 'ping nserver', windows пытается самостоятельно отыскать соответствующий ip-адрес. Для этого используется DNS.
Когда в консоле набираем 'ping \\nserver' - используется NetBIOS.
Если в !проводнике! открыть \\nserver, то будет доступ к ресурсам PDC.
Но появилась новая проблема. При вводе машины WinXP в домен появляется окошечко ввода. После ввода корректного имени появлеяется ошибка: "не найдено имя пользователя" (англ. "The user name could not be found"). В качестве имени использовался root от samba и администратор домена (соответствующие права выставлены). При некорректном вводе выводится другая ошибка, которая сообщает что пара логин и пароль неверна.
Что делать? Как обойти ошибку :)
p.s. В некоторых рекомендациях можно встретить такое (http://www.opennet.me/openforum/vsluhforumID14/1428.html):
> Бюджет для машины в лдапе создаёться, но там не хватает  objectClass sambaSamAccount
> и SambaSID. когда я их в ручную добавляю, то всё ок, компик в домене региться
Но у меня нет LDAP!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Не работает ввод машин в домен"

Сообщение от maxxim (ok) on 31-Авг-08, 19:44

В общем всё решилось очень просто.
Я пытался одновременно изменить имя машины и домен. Такого в Windows сделать нельзя. Пришлось сперва изменить имя (+ перезагрузка), а затем последовал ввод в домен.
Тему можно закрывать. Всем спасибо :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Не работает ввод машин в домен"
Сообщение от maxxim (ok) on 31-Авг-08, 10:13
Накопал следующее (samba также висит на 139): Если на windows машине выполнить команду "ping \\nserver", то в логах будет выведено: [root@altlinux samba]# tail -f -n 0 log.nmbd [2008/08/31 09:48:18, 3] nmbd/nmbd_winsserver.c:wins_process_name_query_request(1892) wins_process_name_query: name query for name \\NSERVER<00> from IP 192.168.100.13 [2008/08/31 09:48:18, 3] nmbd/nmbd_winsserver.c:wins_process_name_query_request(1927) wins_process_name_query: name query for name \\NSERVER<00> returning DNS fail. [2008/08/31 09:48:18, 3] nmbd/nmbd_incomingrequests.c:process_name_query_request(454) process_name_query_request: Name query from 192.168.100.13 on subnet 192.168.100.10 for name \\NSERVER<00> [2008/08/31 09:48:18, 3] nmbd/nmbd_incomingrequests.c:process_name_query_request(454) process_name_query_request: Name query from 192.168.100.13 on subnet 192.168.100.10 for name \\NSERVER<00> [2008/08/31 09:48:18, 3] nmbd/nmbd_incomingrequests.c:process_name_query_request(454) process_name_query_request: Name query from 192.168.100.13 on subnet 192.168.100.10 for name \\NSERVER<00> [2008/08/31 09:48:18, 3] nmbd/nmbd_incomingrequests.c:process_name_query_request(454) process_name_query_request: Name query from 192.168.100.13 on subnet 192.168.100.10 for name \\NSERVER<00> [2008/08/31 09:48:19, 3] nmbd/nmbd_incomingrequests.c:process_name_query_request(454) process_name_query_request: Name query from 192.168.100.13 on subnet 192.168.100.10 for name \\NSERVER<00> [2008/08/31 09:48:19, 3] nmbd/nmbd_incomingrequests.c:process_name_query_request(454) process_name_query_request: Name query from 192.168.100.13 on subnet 192.168.100.10 for name \\NSERVER<00> Теперь если в windows убрать DNS (например, некорректно), а оставить WINS, то имена он начинает брать из SAMBA: [2008/08/31 09:58:21, 3] nmbd/nmbd_winsserver.c:wins_process_name_query_request(1892) wins_process_name_query: name query for name NSERVER<00> from IP 192.168.100.13 [2008/08/31 09:58:21, 3] nmbd/nmbd_winsserver.c:wins_process_name_query_request(1944) wins_process_name_query: name query for name NSERVER<00> returning first IP 192.168.100.10. Но DNS требуется для подключения компьютера в домен. Отсюда новые вопросы: 1. В логах появляются имена с суффиксом <ЧИСЛО>. Что это за числа? 2. Пока машины не в домене использовать запись вида \\машина - бессмыслено? 3. Как сделать, чтобы пока нет домена имена распозновались по WINS, а потом уже по DNS? Ответ на последний вопрос можно сформулировать так: Можно назвать машины по разному в домене и samba. В доменах использовать полные доменные имена, а в samba короткие, тогда пересечений быть не должно. Кто что думает?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Не работает ввод машин в домен"
	Сообщение от maxxim (ok) on 31-Авг-08, 19:26
	Оказалось, что всё в порядке с именами. Когда в консоле набираем 'ping nserver', windows пытается самостоятельно отыскать соответствующий ip-адрес. Для этого используется DNS. Когда в консоле набираем 'ping \\nserver' - используется NetBIOS. Если в !проводнике! открыть \\nserver, то будет доступ к ресурсам PDC. Но появилась новая проблема. При вводе машины WinXP в домен появляется окошечко ввода. После ввода корректного имени появлеяется ошибка: "не найдено имя пользователя" (англ. "The user name could not be found"). В качестве имени использовался root от samba и администратор домена (соответствующие права выставлены). При некорректном вводе выводится другая ошибка, которая сообщает что пара логин и пароль неверна. Что делать? Как обойти ошибку :) p.s. В некоторых рекомендациях можно встретить такое (http://www.opennet.me/openforum/vsluhforumID14/1428.html): > Бюджет для машины в лдапе создаёться, но там не хватает objectClass sambaSamAccount > и SambaSID. когда я их в ручную добавляю, то всё ок, компик в домене региться Но у меня нет LDAP!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Не работает ввод машин в домен"
	Сообщение от maxxim (ok) on 31-Авг-08, 19:44
	В общем всё решилось очень просто. Я пытался одновременно изменить имя машины и домен. Такого в Windows сделать нельзя. Пришлось сперва изменить имя (+ перезагрузка), а затем последовал ввод в домен. Тему можно закрывать. Всем спасибо :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]