2008 R2 - Присоединение контроллера домена Windows Server 2008 R2 к Samba AD

2008 R2 - Присоединение контроллера домена Windows Server 2008 R2 к Samba AD

Ветеран

Сообщения: 537
Благодарности: 12

Всем привет!

Основная статья https://wiki.samba.org/index.php/Joi..._to_a_Samba_AD

Следуя ей, Windows Server 2008 R2 нормально добавляется в качестве DC, сама репликация работает.
Но есть несколько моментов, во-первых в оснастке "Роли", с красным крестиком показывается роль "DNS-сервер", во-вторых роль "Доменные службы Active Directory" показывается с восклицательным знаком.
В журналах такие ошибки:

Цитата:

DNS-серверу не удалось инициализировать интерфейсы безопасности Active Directory. Убедитесь, что Active Directory функционирует нормально и перезапустите DNS-сервер. Данные о событии содержат сведения об ошибке.

Цитата:

DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до завершения первичной синхронизации, так как критические данные DNS могут быть еще не реплицированными на этот контроллер домена. Если журнал событий AD DS показывает, что имеются проблемы с разрешением DNS-имен в адреса, рассмотрите возможность добавления IP-адреса другого DNS-сервера для этого домена в список DNS-серверов в свойствах протокола IP этого компьютера. Такое событие будет записываться в журнал каждые две минуты, пока служба AD DS не сообщит об успешном завершении первичной синхронизации.

Цитата:

Безопасность данного сервера каталогов можно существенно повысить, если настроить его на отклонение привязок SASL (согласование, Kerberos, NTLM или выборка), которые не запрашивают подписи (проверки целостности) и простых привязок LDAP, которые выполняются для подключения LDAP с открытым (не зашифрованным SSL/TLS) текстом. Даже если никто из клиентов такие привязки не использует, настройка сервера на их отклонение улучшит безопасность этого сервера.

В данный момент некоторые клиенты могут рассчитывать на неподписанные привязки SASL или простые привязки LDAP для подключения без SSL/TLS и могут перестать работать, если будет сделано такое изменение конфигурации. Чтобы помочь выявить клиенты, у которых появляются такие привязки, данный сервер каталогов один раз каждые 24 часа будет регистрировать итоговое событие, указывающее, сколько таких привязок произошло. Рекомендуется настроить такие клиенты так, чтобы они не использовали эти привязки. Как только соответствующие события перестанут регистрироваться в течение достаточно продолжительного периода, рекомендуется настроить сервер на отклонение таких привязок.

Дополнительные сведения о том, как сделать соответствующие изменения в конфигурации сервера, см. в статье по адресу: http://go.microsoft.com/fwlink/?LinkID=87923.

Можно включить дополнительную регистрацию для фиксации события каждый раз, когда клиент выполняет такую привязку, включая сведения о том, на каком клиенте она сделана. Для этого следует поднять параметр для категории регистрации событий "События интерфейса LDAP" до уровня 2 или выше.

Также вот такую информацию выдаёт dcdiag:

Код:

C:\Users\administrator>dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = DC2
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\DC2
Запуск проверки: Connectivity
......................... DC2 - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\DC2
Запуск проверки: Advertising
Внимание: DsGetDcName вернул сведения для \\dc1.base.ru при попытке
получения доступа к DC2.
СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
......................... DC2 - не пройдена проверка Advertising
Запуск проверки: FrsEvent
......................... DC2 - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
......................... DC2 - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... DC2 - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... DC2 - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... DC2 - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... DC2 - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
......................... DC2 - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
Не удается подключиться к общему ресурсу NETLOGON. (\\DC2\netlogon)
[DC2] Сбой операции net use или LsaPolicy с ошибкой 67,
Не найдено сетевое имя..
......................... DC2 - не пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... DC2 - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
......................... DC2 - пройдена проверка Replications
Запуск проверки: RidManager
......................... DC2 - пройдена проверка RidManager
Запуск проверки: Services
......................... DC2 - пройдена проверка Services
Запуск проверки: SystemLog
Возникло предупреждение. Код события (EventID): 0x000003F6
Время создания: 03/05/2019 12:09:48
Строка события:
Разрешение имен для имени base.ru истекло после отсутствия ответа от
настроенных серверов DNS.
......................... DC2 - пройдена проверка SystemLog
Запуск проверки: VerifyReferences
Проблемы у некоторых объектов, относящихся к DC DC2:
[1] Проблема: Отсутствует ожидаемое значение
Базовый объект:
CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sit
es,CN=Configuration,DC=base,DC=ru
Описание базового объекта: "Объект DSA"
Имя атрибута объекта значения: serverReferenceBL
Описание объекта значения: "Объект члена SYSVOL FRS"
Рекомендуемое действие: См. статью базы знаний: Q312862

[1] Проблема: Отсутствует ожидаемое значение
Базовый объект: CN=DC2,OU=Domain Controllers,DC=base,DC=ru
Описание базового объекта: "Объект учетной записи DC"
Имя атрибута объекта значения: frsComputerReferenceBL
Описание объекта значения: "Объект члена SYSVOL FRS"
Рекомендуемое действие: См. статью базы знаний: Q312862

......................... DC2 - не пройдена проверка VerifyReferences

Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
В разделе каталога приложений DC=ForestDnsZones,DC=base,DC=ru
отсутствует домен ссылок дескрипторов безопасности. Администратор
должен задать для атрибута msDS-SD-Reference-Domain объекта
перекрестной ссылки
CN=493c74fe-c326-40e7-8a7e-107b2fbe71b7,CN=Partitions,CN=Configurati
on,DC=base,DC=ru
значение DN домена.
......................... ForestDnsZones - не пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
В разделе каталога приложений DC=DomainDnsZones,DC=base,DC=ru
отсутствует домен ссылок дескрипторов безопасности. Администратор
должен задать для атрибута msDS-SD-Reference-Domain объекта
перекрестной ссылки
CN=a018ba96-2db0-432c-9543-a903297091a6,CN=Partitions,CN=Configurati
on,DC=base,DC=ru
значение DN домена.
......................... DomainDnsZones - не пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: base
Запуск проверки: CheckSDRefDom
......................... base - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... base - пройдена проверка CrossRefValidation

Выполнение проверок предприятия на: base.ru
Запуск проверки: LocatorCheck
......................... base.ru - пройдена проверка LocatorCheck
Запуск проверки: Intersite
......................... base.ru - пройдена проверка Intersite

Я так понял, основная проблема в дескрипторах/интерфейсах безопасности.
Подскажите, как исправить эту ошибку и собственно как выполнить это требование:

Цитата:

Администратор
должен задать для атрибута msDS-SD-Reference-Domain объекта
перекрестной ссылки
CN=a018ba96-2db0-432c-9543-a903297091a6,CN=Partitions,CN=Configurati
on,DC=base,DC=ru
значение DN домена.

?

В сети не могу найти никаких рекомендаций как это можно сделать, на wiki.samba.org тоже ничего не нахожу.

Отправлено: 11:21, 05-03-2019

berkut_174

Ветеран

Сообщения: 537
Благодарности: 12

Профиль | Отправить PM | Цитировать

Согласно рекомендациям https://docs.microsoft.com/en-us/pre...783032(v=ws.10, получаю ошибку:

Код:

C:\Users\administrator>ntdsutil "part man" conn "co to se base.ru" q "set nc ref
 domain DC=DomainDnsZones,DC=base,DC=ru DC=base,DC=ru" q q
ntdsutil: part man
partition management: conn
server connections: co to se base.ru
Привязка к base.ru ...
Подключен к base.ru с помощью учетных данных локального пользователя.
server connections: q
partition management: set nc ref domain DC=DomainDnsZones,DC=base,DC=ru DC=base,
DC=ru
ldap_modify_ext_sW ошибка 0xa(10 (Ссылки).
Расширенное сообщение об ошибке LDAP 0000202B: RefErr: DSID-030A0B09, data 0, 1
access points
        ref 1: 'bb71adc7-db53-42d7-a7f4-ff986d795828._msdcs.base.ru'

Возвращенная ошибка Win32 0x202b(Сервер возвратил ссылку.)
)
partition management: q
ntdsutil: q

Что значит эта ссылка ?

Отправлено: 09:13, 06-03-2019 | #2

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.