Problema com SAMBA no ingresso ao domínio Windows AD.

Iniciado por ammorei, 11 de Setembro de 2020, 17:56

tópico anterior - próximo tópico

ammorei

Boa Noite!

Tenho um domínio Windows, e montei um Fileserver com o Ubuntu. Segui vários tutoriais e aparentemente está tudo correto.
Quando fui incluir no meu domínio com o comando
# net ads join DOMINIO -S servidor-ad -U 'DOMINIO\administrator', ele me apresenta dois erros:

kerberos_kinit_password administrator@DOMINIO failed: Cannot contact any KDC for requested realm
e
No DNS domain configured for dominio. Unable to perform DNS Update.
DNS update failed: NT_STATUS_INVALID_PARAMETER

Já pesquisei aqui no fórum e em vários outros e não consigo achara a solução.

Alguém poderia me ajudar??

zekkerj

Olá @ammorei,

Você colocou o endereço IP do servidor de domínio AD como "nameserver" de seu Ubuntu? Isso é definido no arquivo "/et/resolv.conf".

Sendo seu Ubuntu um servidor de arquivos, ele deve, preferencialmente, usar IP fixo. Está assim?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

ammorei

Boa Tarde!

@zekkerj

Já conferir os arquivos várias vezes.


/etc/resolv.conf
search dominio.local
nameserver 10.0.10.10



/etc/hosts
127.0.0.1           prodados.dominio.local localhost prodados
10.0.10.10          ad-server


Postei ai em cima para ver se fiz alguma coisa errada.

zekkerj

O IP do seu Ubuntu está fixo?

Ele tem conectividade total com o servidor AD?

Você consegue resolver nomes com a configuração atual?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

ammorei

Primeiramente respondendo a pargunta: Consigo, acesso a internet e pingar o AD tanto pelo IP quanto pelo Nome.

Refiz passo a passo todo o tutorial, e verifiquei que estava errando no NTP, não sei se tem relação, mas quando corrigi a hora o erro de update do DNS sumiu.

Mas quando fui rodar o comando "net ads join" novamente ele continua me apresentando o erro:
kerberos_kinit_password administrator@DOMINIO failed: Cannot contact any KDC for requested realm

Já pesquisei vários foruns e não consigo achara a solução.

zekkerj

Citação de: ammorei online 16 de Setembro de 2020, 13:57
Primeiramente respondendo a pargunta: Consigo, acesso a internet e pingar o AD tanto pelo IP quanto pelo Nome.

Refiz passo a passo todo o tutorial, e verifiquei que estava errando no NTP, não sei se tem relação, mas quando corrigi a hora o erro de update do DNS sumiu.
Sincronização de hora é essencial pro funcionamento do Kerberos. É uma coisa que precisa estar muito bem configurada, ou nada vai funcionar na sua rede.

Citar
Mas quando fui rodar o comando "net ads join" novamente ele continua me apresentando o erro:
kerberos_kinit_password administrator@DOMINIO failed: Cannot contact any KDC for requested realm

Já pesquisei vários foruns e não consigo achara a solução.
Execute os comandos abaixo e cole o resultado aqui.

cat /etc/krb5.conf

host -t SRV _ldap._tcp.dominio.local.

host -t SRV _kerberos._udp.dominio.local.

host -t A debian.dominio.local.


Uma coisa a observar com cuidado é que o nome do domínio tem que estar igual tanto na configuração do Samba (smb.conf), quanto na configuração do Kerberos (krb5.conf), e na configuração do DNS (resolv.conf). Em especial, no krb5.conf, precisa ainda estar no mesmo "case" (maiúsculas/minúsculas) que o configurado no servidor. No resolv.conf, eu entendo que não há essa necessidade, visto que o DNS normalmente é case insensitive. Não sei se o mesmo se aplica ao smb.conf. Na dúvida, procure colocar tudo igual, pra minimizar a chance de problema.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

ammorei

Antes de realizar esses comando fiz a alteração dos arquivos em relação ao case-sensitive, após alteração reiniciei o servidor e mesmo assim não funcionou.

cat /etc/krb5.conf


root@prodados:/# cat /etc/krb5.conf
[libdefaults]
    default_realm = DOMINIO.LOCAL

[realms]
    DOMINIO.LOCAL  =  {
    kdc  =  PRVSRV02.dominio.local
    default_domain  =  DOMINIO.LOCAL
    admin_server  =  PRVSRV02.dominio.local
    kpasswd_server = PRVSRV02.dominio.local
}

[domain_realm]
    .dominio.local = DOMINIO.LOCAL
    dominio.local = DOMINIO.LOCAL


host -t SRV _ldap._tcp.dominio.local.


root@prodados:/# host -t SRV _ldap._tcp.dominio.local.
_ldap._tcp.dominio.local has SRV record 0 100 389 prvsrv02.dominio.local.


host -t SRV _kerberos._udp.dominio.local.


root@prodados:/# host -t SRV _kerberos._udp.dominio.local.
_kerberos._udp.dominio.local has SRV record 0 100 88 prvsrv02.dominio.local.


host -t A debian.dominio.local. (Não sabia de qual máquina você queria, então fiz das duas.)


root@prodados:/# host -t A prvsrv02.dominio.local
prvsrv02.dominio.local has address 10.0.10.10
root@prodados:/# host -t A prodados.dominio.local
prodados.dominio.local has address 10.0.10.12


Abaixo vou colocar os meus outros arquivos:

/etc/hosts

root@prodados:/# cat /etc/hosts
127.0.0.1           localhost
10.0.10.12          prodados.dominio.local prodados
10.0.10.10          prvsrv02.dominio.local prvsrv02


/etc/resolv.conf

root@prodados:/# cat /etc/resolv.conf

search dominio.local
domain dominio.local
nameserver 10.0.10.10

zekkerj

Os serviços Kerberos e Samba estão ativos?

systemctl status kerberos

systemctl status samba
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

ammorei

Estranho...
Quando rodos os dois comandos que você citou, acontece isso:

root@prodados:/# systemctl status kerberos
Unit kerberos.service could not be found.
root@prodados:/# systemctl status samba
Unit samba.service could not be found.

ammorei

Rodei esses dois:


root@prodados:/# service smbd status
● smbd.service - Samba SMB Daemon
     Loaded: loaded (/lib/systemd/system/smbd.service; enabled; vendor preset: enabled)
     Active: active (running) since Thu 2020-09-17 16:58:59 -03; 45min ago
       Docs: man:smbd(8)
             man:samba(7)
             man:smb.conf(5)
    Process: 5856 ExecStartPre=/usr/share/samba/update-apparmor-samba-profile (code=exited, status=0/SUCCESS)
   Main PID: 5890 (smbd)
     Status: "smbd: ready to serve connections..."
      Tasks: 4 (limit: 4515)
     Memory: 10.1M
     CGroup: /system.slice/smbd.service
             ├─5890 /usr/sbin/smbd --foreground --no-process-group
             ├─5893 /usr/sbin/smbd --foreground --no-process-group
             ├─5894 /usr/sbin/smbd --foreground --no-process-group
             └─5895 /usr/sbin/smbd --foreground --no-process-group

Sep 17 17:20:00 prodados.dominio.local smbd[6360]: [2020/09/17 17:20:00.404807,  0] ../../source3/param/loadparm.c:336>
Sep 17 17:20:00 prodados.dominio.local smbd[6360]:   process_usershare_file: stat of /var/lib/samba/usershares/multimi>
Sep 17 17:32:18 prodados.dominio.local smbd[6863]: [2020/09/17 17:32:18.351979,  0] ../../source3/param/loadparm.c:336>
Sep 17 17:32:18 prodados.dominio.local smbd[6863]:   process_usershare_file: stat of /var/lib/samba/usershares/publico>
Sep 17 17:32:18 prodados.dominio.local smbd[6863]: [2020/09/17 17:32:18.354019,  0] ../../source3/param/loadparm.c:336>
Sep 17 17:32:18 prodados.dominio.local smbd[6863]:   process_usershare_file: stat of /var/lib/samba/usershares/publico>
Sep 17 17:32:20 prodados.dominio.local smbd[6863]: [2020/09/17 17:32:20.187478,  0] ../../source3/param/loadparm.c:336>
Sep 17 17:32:20 prodados.dominio.local smbd[6863]:   process_usershare_file: stat of /var/lib/samba/usershares/multimi>
Sep 17 17:32:20 prodados.dominio.local smbd[6863]: [2020/09/17 17:32:20.190000,  0] ../../source3/param/loadparm.c:336>
Sep 17 17:32:20 prodados.dominio.local smbd[6863]:   process_usershare_file: stat of /var/lib/samba/usershares/multimi>



root@prodados:/# service nmbd status
● nmbd.service - Samba NMB Daemon
     Loaded: loaded (/lib/systemd/system/nmbd.service; enabled; vendor preset: enabled)
     Active: active (running) since Thu 2020-09-17 16:59:02 -03; 46min ago
       Docs: man:nmbd(8)
             man:samba(7)
             man:smb.conf(5)
   Main PID: 5899 (nmbd)
     Status: "nmbd: ready to serve connections..."
      Tasks: 1 (limit: 4515)
     Memory: 3.8M
     CGroup: /system.slice/nmbd.service
             └─5899 /usr/sbin/nmbd --foreground --no-process-group

Sep 17 17:29:32 prodados.dominio.local nmbd[5899]:   This response was from IP 10.0.10.6, reporting an IP address of 1>
Sep 17 17:34:24 prodados.dominio.local nmbd[5899]: [2020/09/17 17:34:24.183724,  0] ../../source3/nmbd/nmbd_namequery.>
Sep 17 17:34:24 prodados.dominio.local nmbd[5899]:   query_name_response: Multiple (2) responses received for a query >
Sep 17 17:34:24 prodados.dominio.local nmbd[5899]:   This response was from IP 10.0.10.6, reporting an IP address of 1>
Sep 17 17:39:37 prodados.dominio.local nmbd[5899]: [2020/09/17 17:39:37.406658,  0] ../../source3/nmbd/nmbd_namequery.>
Sep 17 17:39:37 prodados.dominio.local nmbd[5899]:   query_name_response: Multiple (2) responses received for a query >
Sep 17 17:39:37 prodados.dominio.local nmbd[5899]:   This response was from IP 10.0.10.6, reporting an IP address of 1>
Sep 17 17:44:42 prodados.dominio.local nmbd[5899]: [2020/09/17 17:44:42.968834,  0] ../../source3/nmbd/nmbd_namequery.>
Sep 17 17:44:42 prodados.dominio.local nmbd[5899]:   query_name_response: Multiple (2) responses received for a query >
Sep 17 17:44:42 prodados.dominio.local nmbd[5899]:   This response was from IP 10.0.10.6, reporting an IP address of 1>


zekkerj

Oi @ammorei, desculpa a demora na resposta.

Você precisa confirmar se o processo de autenticação do Kerberos está funcionando. Eu não consegui ver se há um serviço específico associado com isso, ou se o serviço faz parte do próprio Samba.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

ammorei

Cara, obrigado pelo retorno.

Troquei pelo Debian10, que eu já tinha em outra máquina funcionando.
Usei o mesmo tutorial e funcionou.

Obrigado!