https://ns.opennet.ru/openforum/vsluhforumID14/2008.html Доброго времени суток.<br>Столкнулся со следующей проблемой при заведении самбы в домен:<br>kinit проходит нормально, net join проходит нормально, getent passwd и getent group показывают юзеров и группы домена, wbinfo -p проходти нормально, дальше начинаются фокусы.<br><br>wbinfo -t выполняется минут 5, при этом winbind начинает жрать 100% процессора. wbinfo -u или -g дождаться сил не хватило.<br>В логах пишет:<br>ads_krb5_mk_req: krb5_get_credentials failed for NSKHQ$@DOMAINNAME (Cannot resolve network address for KDC in requested realm)<br><br>Что характерно, оно почему-то хочет найти KDC для netbios имени домена, хотя по идее должно обращаться по полному dns имени.<br><br>Пробовал добавить в krb5.conf дополнительный realm для этого имени, winbind начинает ругаться по-другому:<br>ads_krb5_mk_req: krb5_get_credentials failed for NSKHQ$@DOMAINNAME (KDC reply did not match expectations)<br>То же самое происходит, если в hosts добавляю запись для DOMAINNAME, соответствующую контроллеру домена.<br><br>Домен на Windows 2008 server.<br><br>Обрис https://ns.opennet.ru/openforum/vsluhforumID14/2008.html#12 Wed, 11 Mar 2009 11:50:47 GMT Решено:<br>Оказывается, всё дело было в строке smb.conf<br>winbind cache time = 0<br>====<br>Следовало закомментить, либо поставить более приемлемое значение :)<br><br>Всем спасибо.<br> https://ns.opennet.ru/openforum/vsluhforumID14/2008.html#11 Mon, 16 Feb 2009 14:33:51 GMT Ради эксперимента взял свободную машину, воткнул ту же 10 федору, только i386 (проц старенький) - всё завелось с полпинка. Круг сужается, конечно, но всё равно не понятно, где причина.<br> https://ns.opennet.ru/openforum/vsluhforumID14/2008.html#10 Fri, 13 Feb 2009 09:55:17 GMT выложил логи при log level = 3<br>http://rif.nsk.ru/files/log.zip<br> https://ns.opennet.ru/openforum/vsluhforumID14/2008.html#9 Fri, 13 Feb 2009 03:20:30 GMT &gt; Да где ж нормально проходит <br>&gt; если у тебя <br>&gt;# kinit Administrator@NSK.DOMAINNAME.RU <br>&gt;kinit(v5): Cannot resolve network address for KDC in realm NSK.DOMAINNAME.RU while getting <br>&gt;initial credentials <br><br>Эта ошибка возникает только если добавить перед адресом "tcp/", оно его, видимо, не понимает.<br><br>&gt;<br>&gt; Кстати а сейчас ты какую самбу юзаешь, 3.2 или же 3.0 <br>&gt;<br><br>3.2.8-0.26.fc10 была, сейчас уже 3.3.0-1.x86_64<br> https://ns.opennet.ru/openforum/vsluhforumID14/2008.html#8 Thu, 12 Feb 2009 20:47:42 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Да отзывается, в том-то и дело, и kinit нормально проходит, и net <br>&gt;join без единой ошибки... <br>&gt;А вот почему winbind'у в голову взбрело, что к домену нужно обращаться <br>&gt;по netbios имени - загадка, ибо сколько я себя помню - <br>&gt;всегда было SERVER$@FULL.DOMAIN.NAME. И где чего покрутить, чтобы ему объяснить, как <br>&gt;надо - не знаю. <br>&gt;<br>&gt;Уже думаю с горя собрать ванильную самбу 3.3 попробовать, только обновлять её <br>&gt;потом проблемно будет, пакетами проще всё-таки. <br><br> Да где ж нормально проходит<br> если у тебя <br># kinit Administrator@NSK.DOMAINNAME.RU<br>kinit(v5): Cannot resolve network address for KDC in realm NSK.ROSNEFT.RU while getting initial credentials<br><br> Кстати а сейчас ты какую самбу юзаешь, 3.2 или же 3.0<br><br> https://ns.opennet.ru/openforum/vsluhforumID14/2008.html#7 Thu, 12 Feb 2009 10:33:07 GMT &gt;Уже думаю с горя собрать ванильную самбу 3.3 попробовать, только обновлять её <br>&gt;потом проблемно будет, пакетами проще всё-таки. <br><br>Собрал рпм-ки для 3.3 из исходников, установил, всё то же самое.<br>Нифига не понимаю... Значит, где-то надо что-то крутить.<br> https://ns.opennet.ru/openforum/vsluhforumID14/2008.html#6 Wed, 11 Feb 2009 15:17:07 GMT &gt; Настраивай kerberos, но сначало добейся, чтобы у тебя отзывался контроллер AD <br>&gt;и по ip и по dns, без этого двигаться дальше бесполезно. <br>&gt;<br><br>Да отзывается, в том-то и дело, и kinit нормально проходит, и net join без единой ошибки...<br>А вот почему winbind'у в голову взбрело, что к домену нужно обращаться по netbios имени - загадка, ибо сколько я себя помню - всегда было SERVER$@FULL.DOMAIN.NAME. И где чего покрутить, чтобы ему объяснить, как надо - не знаю.<br><br>Уже думаю с горя собрать ванильную самбу 3.3 попробовать, только обновлять её потом проблемно будет, пакетами проще всё-таки.<br> https://ns.opennet.ru/openforum/vsluhforumID14/2008.html#5 Wed, 11 Feb 2009 15:07:05 GMT Настраивай kerberos, но сначало добейся, чтобы у тебя отзывался контроллер AD и по ip и по dns, без этого двигаться дальше бесполезно.<br> https://ns.opennet.ru/openforum/vsluhforumID14/2008.html#4 Wed, 11 Feb 2009 14:07:53 GMT &gt; Я сразу не обратил внимание, но похоже у тебя realname <br>&gt;это DOMAINNAME.RU, а не <br>&gt;NSK.DOMAINNAME.RU <br><br>Нет, именно nsk.domainname.ru.<br>А почему в конфигах указано именно так, а не server.nsk.domainname.ru - для какой-никакой отказоустойчивости, т.к. контроллеров домена два, а это имя ресолвится как раз в оба сервера. Способ проверен в другой сети на другом домене - работает :)<br>