Доброго времени суток, aLL.

Домен, поднятый c нуля на Samba-4.3.4 на 400+ пользователей. Со временем включен в него W2K8 сервер в качестве резервного DC. Все прошло нормально, AD стянул с Samba. Функционирует.

Только вот репликация между DC работает странно: если завожу объект на Samba DC - он успешно появляется на Win DC. Если же на Win DC - на Samba реплика не уходит. НО: реплики с Win DC на Samba DC иногда приходят (бессистемно) и если Samba DC перегрузить - тоже реплицирует.
DNS на Win DC.

В домене изначально был еще один DC на такой же самбе. Он, со временем, вообще перестал реплицироваться. И был выключен и вычищен из домена (через оснастку). Но, оный DC все равно присутствует в списках репликации...
FSMO-роли у Win DC

smb.conf:
===
[global]
        workgroup = WG
        realm = WG.LOCAL
        netbios name = AURA
        server role = active directory domain controller

        idmap config * : backend = tdb
        idmap config * : range = 1000-200000

        idmap config WG : backend = ad
        idmap config WG : range = 300000-400000
        idmap config WG : schema_mode = rfc2307
        idmap_ldb:use rfc2307 = yes
        syslog only = 1
        log level = 0

        winbind nss info = rfc2307
        winbind trusted domains only = no
        winbind use default domain = yes
        winbind enum users = yes
        winbind enum groups = yes
        winbind refresh tickets = yes

       nsupdate command = /usr/local/samba/sbin/samba_dnsupdate

        allow dns updates = nonsecure and secure
        dns forwarder = 10.5.100.24
[netlogon]
        path = /usr/local/samba/var/locks/sysvol/wg.local/scripts
        read only = No

[sysvol]
        path = /usr/local/samba/var/locks/sysvol
        read only = No
===
Из логов ничего, что могло бы помочь, не выловлено.

Выполнение samba-tool drs showrepl дает нечто подобное:
===
...
DC=ForestDnsZones,DC=wg,DC=local
        Default-First-Site-Name\DC via RPC
                DSA object GUID: 9f4c88e5-187f-4247-a658-fc75686a99a1
                Last attempt @ Tue Jan 30 19:13:47 2018 MSK was successful
                0 consecutive failure(s).
                Last success @ Tue Jan 30 19:13:47 2018 MSK
...
===
и так по всем записям: успех реплики с WinDC. Но - когда "оно" посчитает нужным.

Что, почему, отчего?

• Samba 4 <-> W2K8 репликация,ACCA, 10:22 , 11-Фев-18
  • Samba 4 <-> W2K8 репликация,l8saerexhn1, 14:29 , 12-Фев-18
    • Samba 4 <-> W2K8 репликация,Dorlas, 20:02 , 17-Фев-18
      • Samba 4 <-> W2K8 репликация,Аноним, 10:00 , 01-Мрт-18
        • Samba 4 <-> W2K8 репликация,l8saerexhn1, 20:57 , 02-Мрт-18
      • Samba 4 <-> W2K8 репликация,l8saerexhn1, 20:49 , 02-Мрт-18

> Что, почему, отчего?

1. Репликация active-active теоретически невозможная штука. Всегда можно подобрать поток изменений, который никогда не будет синхронизирован.
2. Глюки Samba 4 + глюки W2K8 образовали гремучую смесь.

Вспомни, что Samba 4 пилили индусы из M$. И что ты ожидал от империи зла, кроме очередного геморроя?

>> Что, почему, отчего?
> 1. Репликация active-active теоретически невозможная штука. Всегда можно подобрать поток
> изменений, который никогда не будет синхронизирован.
> 2. Глюки Samba 4 + глюки W2K8 образовали гремучую смесь.
> Вспомни, что Samba 4 пилили индусы из M$. И что ты ожидал
> от империи зла, кроме очередного геморроя?

Это все понятно, но схема успешно работала более полугода. Никаких изменений не было, только добавлял-удалял юзеров-группы и компы в домене. Элементарный домен, без "изворотов", базовый функционал в целом. И оно, ведь, и сейчас синхронизируется, но по какому-то "своему алгоритму". И винда успешно стягивает изменения с самбы...

> Это все понятно, но схема успешно работала более полугода. Никаких изменений не
> было, только добавлял-удалял юзеров-группы и компы в домене. Элементарный домен, без
> "изворотов", базовый функционал в целом. И оно, ведь, и сейчас синхронизируется,
> но по какому-то "своему алгоритму". И винда успешно стягивает изменения с
> самбы...

Забавный "выстрел себе в ногу" - с задержкой в полгода.

Думаю, нужно гуглить Вам про "active directory lingering objects",и смотреть интересные консольные опции утилиты repadmin и т.д....пилить этот "забавный" черный ящик.

PS: Не делайте так в будущем у других компаний/Заказчиков/Клиентов...не надо!

без сарказма!, зачем  такое ивращение понимаю когда 2 самбы работают но разношерстность учитывая что 4 самбу превратили в ящик пандоры... чего вы ожидали?

> без сарказма!, зачем  такое ивращение понимаю когда 2 самбы работают но
> разношерстность учитывая что 4 самбу превратили в ящик пандоры... чего вы
> ожидали?

Изначально две самбы и было. И оно работало как часы. Достаточно долго.
Потом перестала синхронизироваться одна самба. Вот с нифига. Времени на толком разобраться не было. Решил не морочить голову и таки съехать на WinAD. Для того и поднял Win 2008 DC. Который, к слову, тоже нормально обменивался репликами с самбой. И сейчас их тянет
Чего я ожидал? Ожидал нормальной работы в базовых AD-вещах. Более стабильной работы (без вот этих вот виндовых "Server unwilling to perform operation" на ровном месте). Ожидал большей информативности логов.  Да просто ожидал, что к версии 4.3.х не буду заниматься шаманством и все будет более-менее предсказуемо.

> Забавный "выстрел себе в ногу" - с задержкой в полгода.

Очень забавный, ага...

> Думаю, нужно гуглить Вам про "active directory lingering objects",и смотреть интересные
> консольные опции утилиты repadmin и т.д....пилить этот "забавный" черный ящик.

Спасибо, поищу по наводке.

> PS: Не делайте так в будущем у других компаний/Заказчиков/Клиентов...не надо!

Знать бы где упасть - соломку постелил бы...