Wurschtel
Anmeldungsdatum: 21. Januar 2015
Beiträge: 53
|
Hallo Leute ... ... ich bin etwas am Verzweifeln! Ich komme an der Stelle samba_dnsupdate: RuntimeError: kinit for xxxx@XXXX.YYYYYY.ZZZZZ.DE failed (Cannot contact any KDC for requested realm) einfach nicht weiter. Könnte mich jemand mal an die Hand nehmen, um den Fehler zu finden? Wäre supertoll! Gruß
Thomas
|
cflinux
Anmeldungsdatum: 14. Januar 2013
Beiträge: 685
|
Hallo Hast du einen Kerberos-Server in deinem Netzwerk, oder willst du den Kerberos von Samba4 nutzen? Hast du das Heimdal-Clients oder Krb5-user Paket installiert? Hast du deinen Samba4 als ADS-Server eingerichtet? Gruß cflinux
|
Wurschtel
(Themenstarter)
Anmeldungsdatum: 21. Januar 2015
Beiträge: 53
|
Hallo ... ... du triffst den Nagel auf den Kopf! Ich bin nach diesem howto (http://blogging.dragon.org.uk/samba4-ad-dc-on-ubuntu-14-04/) vorgegangen.
Denke also, daß es sich um den Kerberos von Samba4 handelt, zumindest wurde das Krb5-user Paket installiert - Heimdal sagt mir jetzt noch nichts.
Es "soll" in der Tat ein Samba4-ADS-Server mit BIND9_DLZ werden. DNS und DHCP laufen alleine super ..... sobald ich aber "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_9.so" einbinde, schmiert mir die Sache beim samba_dlz ab. Ich glaube, daß ich bei dem KDC-Problem in der Zwischenzeit schon etwas weitergekommen bin. Wäre klasse, wenn du mir hier etwas unter die Arme greifen könntest! Gruß
Thomas
|
cflinux
Anmeldungsdatum: 14. Januar 2013
Beiträge: 685
|
Hallo Läuft der DNS-Server (bind) auf der gleichen Maschine, wo auch der Samba4 als DC läuft? Heimdal ist auch ein Client für Kerberos. Du kannst nur einen haben, wenn du jetzt heimdal-clients installieren würdest, dann würde das Paket Krb5-user automatisch deinstalliert. Darum hab ich ODER geschrieben. Gruß cflinux
|
Wurschtel
(Themenstarter)
Anmeldungsdatum: 21. Januar 2015
Beiträge: 53
|
JA! - Beide server auf der selben Maschine!
|
Wurschtel
(Themenstarter)
Anmeldungsdatum: 21. Januar 2015
Beiträge: 53
|
Ich sitze gerade wie ein Karnickel vor der Schlange und schaue mir den tail syslog an: So wie es sein soll, alle 10 Minuten ..... aaaaaaaaaaaaaber mit samba_dnsupdate: RuntimeError: kinit for KS01$@ABCDNET.ABCD.DE failed (Cannot contact any KDC for requested realm)
|
cflinux
Anmeldungsdatum: 14. Januar 2013
Beiträge: 685
|
Hallo Gehen diese 3 DNS-Server Tests. samdom.example.com. müsst du natürlich durch deine Domain ersetzen.
$ host -t SRV _ldap._tcp.samdom.example.com.
_ldap._tcp.samdom.example.com has SRV record 0 100 389 dc1.samdom.example.com.
$ host -t SRV _kerberos._udp.samdom.example.com.
_kerberos._udp.samdom.example.com has SRV record 0 100 88 dc1.samdom.example.com.
$ host -t A dc1.samdom.example.com.
dc1.samdom.example.com has address 192.168.1.1
Zeig mal deine /etc/krb5.conf Welche bind Version verwendest du? Gruß cflinux
|
Wurschtel
(Themenstarter)
Anmeldungsdatum: 21. Januar 2015
Beiträge: 53
|
Neeeeeeeee .... von den drei Tests klappr nur einer.
Ich weiß nicht, wiiiie oft ich die schon gemacht habe.
Sobald es Richtung SRV geht ist Sense: root@KS01:~# host -t A ks01.abcdnet.abcd.de.
KS01.abcdnet.abcd.de has address 10.1.2.120 root@KS01:~# host -t SRV _ldap._tcp.abcdnet.abcd.de.
Host _ldap._tcp.abcdnet.abcd.de. not found: 3(NXDOMAIN) root@KS01:~# host -t SRV _kerberos._udp.abcdnet.abcd.de.
Host _kerberos._udp.abcdnet.abcd.de. not found: 3(NXDOMAIN) Hier noch die krb5.conf:
[logging]
default = FILE:/var/log/krb5.log [libdefaults]
default_realm = ABCDNET.ABCD.DE
dns_lookup_realm = false
dns_lookup_kdc = true [realms]
ABCDNET.ABCD.DE = {
kdc = ks01.abcdnet.abcd.de
admin_server = ks01.abcdnet.abcd.de
default_domain = ABCDNET.ABCD.DE
} [domain_realm]
.abcdnet.abcd.de = ABCDNET.ABCD.DE
abcdnet.abcd.de = ABCDNET.ABCD.DE Dienste:
BIND 9.9.5-3ubuntu0.1-Ubuntu (Extended Support Version)
Version 4.1.16-SerNet-Ubuntu-9.trusty
|
Wurschtel
(Themenstarter)
Anmeldungsdatum: 21. Januar 2015
Beiträge: 53
|
root@KS01:~# host -t A ks01.abcdnet.abcd.de.
KS01.abcdnet.abcd.de has address 10.1.2.120
root@KS01:~# host -t SRV _ldap._tcp.abcdnet.abcd.de.
Host _ldap._tcp.abcdnet.abcd.de. not found: 3(NXDOMAIN)
root@KS01:~# host -t SRV _kerberos._udp.abcdnet.abcd.de.
Host _kerberos._udp.abcdnet.abcd.de. not found: 3(NXDOMAIN) Die krb5.conf: [logging]
default = FILE:/var/log/krb5.log
[libdefaults]
default_realm = ABCDNET.ABCD.DE
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
ABCDNET.ABCD.DE = {
kdc = ks01.abcdnet.abcd.de
admin_server = ks01.abcdnet.abcd.de
default_domain = ABCDNET.ABCD.DE
}
[domain_realm]
.abcdnet.abcd.de = ABCDNET.ABCD.DE
abcdnet.abcd.de = ABCDNET.ABCD.DE
So liest es sich wohl besser.
|
cflinux
Anmeldungsdatum: 14. Januar 2013
Beiträge: 685
|
Hallo Dieses Kommando ist schon sauber durchgelaufen samba-tool domain provision, ob Samba sauber läuft kannst du mit diesen beiden Befehlen testen. smbclient -L localhost -U%
Domain=[SAMDOM] OS=[Unix] Server=[Samba 4.x.y]
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.x.y)
Domain=[SAMDOM] OS=[Unix] Server=[Samba 4.x.y]
Server Comment
--------- -------
Workgroup Master
--------- -------
nächster Test:
smbclient //localhost/netlogon -UAdministrator -c 'ls'
Enter Administrator's password: passw0rd
Domain=[SAMDOM] OS=[Unix] Server=[Samba 4.x.y]
. D 0 Sat Jul 5 08:40:00 2014
.. D 0 Sat Jul 5 08:40:00 2014
49386 blocks of size 524288. 42093 blocks available Hast du deinen Domain-Controller auch in deinen DNS-Server eingetragen? Die Namensauflösung im Netzwerk geht ansonsten schon? Danke, so liest es sich wesentlich einfacher. Gruß cflinux
|
Wurschtel
(Themenstarter)
Anmeldungsdatum: 21. Januar 2015
Beiträge: 53
|
Die "samba_dnsupdate" Meldungen sagen Ähnliches: root@KS01:~# samba_dnsupdate --verbose
IPs: ['10.1.2.120']
Looking for DNS entry A KS01.abcdnet.abcd.de 10.1.2.120 as KS01.abcdnet.abcd.de.
Looking for DNS entry A abcdnet.abcd.de 10.1.2.120 as abcdnet.abcd.de.
Failed to find DNS entry A abcdnet.abcd.de 10.1.2.120
Looking for DNS entry SRV _ldap._tcp.abcdnet.abcd.de KS01.abcdnet.abcd.de 389 as _ldap._tcp.abcdnet.abcd.de.
Failed to find DNS entry SRV _ldap._tcp.abcdnet.abcd.de KS01.abcdnet.abcd.de 389
Looking for DNS entry SRV _ldap._tcp.dc._msdcs.abcdnet.abcd.de KS01.abcdnet.abcd.de 389 as _ldap._tcp.dc._msdcs.abcdnet.abcd.de.
Failed to find DNS entry SRV _ldap._tcp.dc._msdcs.abcdnet.abcd.de KS01.abcdnet.abcd.de 389
Looking for DNS entry SRV _ldap._tcp.2b4433e4-5aaf-47ca-a593-25291c1725f6.domains._msdcs.abcdnet.abcd.de KS01.abcdnet.abcd.de 389 as _ldap._tcp.2b4433e4-5aaf-47ca-a593-25291c1725f6.domains._msdcs.abcdnet.abcd.de.
Failed to find DNS entry SRV _ldap._tcp.2b4433e4-5aaf-47ca-a593-25291c1725f6.domains._msdcs.abcdnet.abcd.de KS01.abcdnet.abcd.de 389
Looking for DNS entry SRV _kerberos._tcp.abcdnet.abcd.de KS01.abcdnet.abcd.de 88 as _kerberos._tcp.abcdnet.abcd.de.
Failed to find DNS entry SRV _kerberos._tcp.abcdnet.abcd.de KS01.abcdnet.abcd.de 88
Looking for DNS entry SRV _kerberos._udp.abcdnet.abcd.de KS01.abcdnet.abcd.de 88 as _kerberos._udp.abcdnet.abcd.de.
Failed to find DNS entry SRV _kerberos._udp.abcdnet.abcd.de KS01.abcdnet.abcd.de 88
Looking for DNS entry SRV _kerberos._tcp.dc._msdcs.abcdnet.abcd.de KS01.abcdnet.abcd.de 88 as _kerberos._tcp.dc._msdcs.abcdnet.abcd.de.
Failed to find DNS entry SRV _kerberos._tcp.dc._msdcs.abcdnet.abcd.de KS01.abcdnet.abcd.de 88
Looking for DNS entry SRV _kpasswd._tcp.abcdnet.abcd.de KS01.abcdnet.abcd.de 464 as _kpasswd._tcp.abcdnet.abcd.de.
Failed to find DNS entry SRV _kpasswd._tcp.abcdnet.abcd.de KS01.abcdnet.abcd.de 464
Looking for DNS entry SRV _kpasswd._udp.abcdnet.abcd.de KS01.abcdnet.abcd.de 464 as _kpasswd._udp.abcdnet.abcd.de.
Failed to find DNS entry SRV _kpasswd._udp.abcdnet.abcd.de KS01.abcdnet.abcd.de 464
Looking for DNS entry CNAME 5426af3e-181e-4857-b29a-72dc2150d029._msdcs.abcdnet.abcd.de KS01.abcdnet.abcd.de as 5426af3e-181e-4857-b29a-72dc2150d029._msdcs.abcdnet.abcd.de.
Failed to find DNS entry CNAME 5426af3e-181e-4857-b29a-72dc2150d029._msdcs.abcdnet.abcd.de KS01.abcdnet.abcd.de
Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.abcdnet.abcd.de KS01.abcdnet.abcd.de 389 as _ldap._tcp.Default-First-Site-Name._sites.abcdnet.abcd.de.
Failed to find DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.abcdnet.abcd.de KS01.abcdnet.abcd.de 389
Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.abcdnet.abcd.de KS01.abcdnet.abcd.de 389 as _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.abcdnet.abcd.de.
Failed to find DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.abcdnet.abcd.de KS01.abcdnet.abcd.de 389
Looking for DNS entry SRV _kerberos._tcp.Default-First-Site-Name._sites.abcdnet.abcd.de KS01.abcdnet.abcd.de 88 as _kerberos._tcp.Default-First-Site-Name._sites.abcdnet.abcd.de.
Failed to find DNS entry SRV _kerberos._tcp.Default-First-Site-Name._sites.abcdnet.abcd.de KS01.abcdnet.abcd.de 88
Looking for DNS entry SRV _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.abcdnet.abcd.de KS01.abcdnet.abcd.de 88 as _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.abcdnet.abcd.de.
Failed to find DNS entry SRV _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.abcdnet.abcd.de KS01.abcdnet.abcd.de 88
Looking for DNS entry SRV _ldap._tcp.pdc._msdcs.abcdnet.abcd.de KS01.abcdnet.abcd.de 389 as _ldap._tcp.pdc._msdcs.abcdnet.abcd.de.
Failed to find DNS entry SRV _ldap._tcp.pdc._msdcs.abcdnet.abcd.de KS01.abcdnet.abcd.de 389
Looking for DNS entry A gc._msdcs.abcdnet.abcd.de 10.1.2.120 as gc._msdcs.abcdnet.abcd.de.
Failed to find DNS entry A gc._msdcs.abcdnet.abcd.de 10.1.2.120
Looking for DNS entry SRV _gc._tcp.abcdnet.abcd.de KS01.abcdnet.abcd.de 3268 as _gc._tcp.abcdnet.abcd.de.
Failed to find DNS entry SRV _gc._tcp.abcdnet.abcd.de KS01.abcdnet.abcd.de 3268
Looking for DNS entry SRV _ldap._tcp.gc._msdcs.abcdnet.abcd.de KS01.abcdnet.abcd.de 3268 as _ldap._tcp.gc._msdcs.abcdnet.abcd.de.
Failed to find DNS entry SRV _ldap._tcp.gc._msdcs.abcdnet.abcd.de KS01.abcdnet.abcd.de 3268
Looking for DNS entry SRV _gc._tcp.Default-First-Site-Name._sites.abcdnet.abcd.de KS01.abcdnet.abcd.de 3268 as _gc._tcp.Default-First-Site-Name._sites.abcdnet.abcd.de.
Failed to find DNS entry SRV _gc._tcp.Default-First-Site-Name._sites.abcdnet.abcd.de KS01.abcdnet.abcd.de 3268
Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.abcdnet.abcd.de KS01.abcdnet.abcd.de 3268 as _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.abcdnet.abcd.de.
Failed to find DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.abcdnet.abcd.de KS01.abcdnet.abcd.de 3268
Looking for DNS entry A DomainDnsZones.abcdnet.abcd.de 10.1.2.120 as DomainDnsZones.abcdnet.abcd.de.
Failed to find DNS entry A DomainDnsZones.abcdnet.abcd.de 10.1.2.120
Looking for DNS entry SRV _ldap._tcp.DomainDnsZones.abcdnet.abcd.de KS01.abcdnet.abcd.de 389 as _ldap._tcp.DomainDnsZones.abcdnet.abcd.de.
Failed to find DNS entry SRV _ldap._tcp.DomainDnsZones.abcdnet.abcd.de KS01.abcdnet.abcd.de 389
Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.abcdnet.abcd.de KS01.abcdnet.abcd.de 389 as _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.abcdnet.abcd.de.
Failed to find DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.abcdnet.abcd.de KS01.abcdnet.abcd.de 389
Looking for DNS entry A ForestDnsZones.abcdnet.abcd.de 10.1.2.120 as ForestDnsZones.abcdnet.abcd.de.
Failed to find DNS entry A ForestDnsZones.abcdnet.abcd.de 10.1.2.120
Looking for DNS entry SRV _ldap._tcp.ForestDnsZones.abcdnet.abcd.de KS01.abcdnet.abcd.de 389 as _ldap._tcp.ForestDnsZones.abcdnet.abcd.de.
Failed to find DNS entry SRV _ldap._tcp.ForestDnsZones.abcdnet.abcd.de KS01.abcdnet.abcd.de 389
Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.abcdnet.abcd.de KS01.abcdnet.abcd.de 389 as _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.abcdnet.abcd.de.
Failed to find DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.abcdnet.abcd.de KS01.abcdnet.abcd.de 389
Traceback (most recent call last):
File "/usr/sbin/samba_dnsupdate", line 612, in <module>
get_credentials(lp)
File "/usr/sbin/samba_dnsupdate", line 125, in get_credentials
raise e
RuntimeError: kinit for KS01$@ABCDNET.ABCD.DE failed (Cannot contact any KDC for requested realm)
|
Wurschtel
(Themenstarter)
Anmeldungsdatum: 21. Januar 2015
Beiträge: 53
|
Jo! Beide smbclient-Tests laufen sauber durch und ich kann kreuz und quer / rückwärts wie vorwärts im Netz durchpingen ...
Am bind9 hängt auch noch ein dynamischer dhcpd mit teils statischer Adressvergabe. Hier gibt es keine Probleme.
|
Wurschtel
(Themenstarter)
Anmeldungsdatum: 21. Januar 2015
Beiträge: 53
|
Die Frage, ob ich den Domain-Controller auch im DNS-Server eingetragen habe, kann ich so gar nicht beantworten.
Die "Vorwärts-Zone" sieht so aus: $ORIGIN .
$TTL 86400 ; 1 day
abcdnet.abcd.de IN SOA KS01.abcdnet.abcd.de. admin.abcd.de. (
244 ; serial
28800 ; refresh (8 hours)
7200 ; retry (2 hours)
864000 ; expire (1 week 3 days)
86400 ; minimum (1 day)
)
NS KS01.abcdnet.abcd.de.
$ORIGIN abcdnet.abcd.de.
$TTL 3600 ; 1 hour
BizHubC280 A 10.1.2.150
Drucker02 A 10.1.2.151
Drucker03 A 10.1.2.152
Drucker04 A 10.1.2.153
.
.
.
ABCD-ADS CNAME KS01
KS01 A 10.1.2.120
KS02 A 10.1.2.121
KS03 A 10.1.2.122
KS04 A 10.1.2.123
|
Wurschtel
(Themenstarter)
Anmeldungsdatum: 21. Januar 2015
Beiträge: 53
|
Etwas Wichtiges habe ich noch vergessen: Damit's mit samba und bind9_dlz klappt, muß per include die "/var/lib/samba/private/named.conf" in die "/etc/bind/named.conf" eingebunden werden. Hier die "/var/lib/samba/private/named.conf":
# This DNS configuration is for BIND 9.8.0 or later with dlz_dlopen support.
# This file should be included in your main BIND configuration file
#
# For example with
# include "/var/lib/samba/private/named.conf";
#
# This configures dynamically loadable zones (DLZ) from AD schema
# Uncomment only single database line, depending on your BIND version
#
dlz "AD DNS Zone" {
# For BIND 9.8.x
# database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9.so";
# For BIND 9.9.x
database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_9.so -d 3";
# For BIND 9.10.x
# database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_10.so";
}; Sobald ich das tue, quittiert mir bind9 den restart mit FAIL und läuft nicht! Ob wir zuerst mal an dieser Stelle suchen müssen?
bind9 läuft bei mir unter user "bind" und group "bind".
|
cflinux
Anmeldungsdatum: 14. Januar 2013
Beiträge: 685
|
Hallo Da ich nicht weiß wie der Hostname deines Samba-Servers ist, kann ich es nicht beurteilen, ob er drin steht. Dein Samba4-Server hat schon eine feste IP-Adresse oder wird die feste IP-Adresse des Samba4-Servers über den DHCP-Server eingepflegt.
Dann kannst du das mit der reverse und forwarder Zone erst mal ignorieren. reverse Zone:
IP-Adresse des Samba-Servers IN PTR Hostname des Samba-Servers
192.168.1.1 IN PTR Samba4-Server
forwarder Zone:
Hostname des Samba-Servers IN IP-Adresse des Samba-Servers
Samba4-Server IN 192.168.1.1 Beim ping meinte ich, mit dem Computernamen. Gruß cflinux
|