Přenesení doménového řadiče do jiného subnetu

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Přenesení doménového řadiče do jiného subnetu
« kdy: 26. 05. 2015, 16:24:56 »
Ahoj,
čelím problému:
mám virtuální stroj (Debian) na kterém běží samba4 jako DC+AD
v tuto chvíli běží na stejném subnetu jakjo klient  '192.168.6.0/24'
virtuální stroj(Debian-Samba4) jsem přenesl na jíný server běžící v jiném subnetu '192.168.1.0/24'
- na virtuálním stroji jsem změnil IP k danému subnetu
- na klientovi změnil DNS k nové IP virtualního stroje

z klienta ping naIP virtuálního stroje - ok
z klienta ping na hostname virtuálního stroje - problem

z virtuálního stroje ping na IP klienta - ok
z virtuálního stroje ping na hostname klienta - ok

v novém subnetu se již do domény nemohu přihlásit
« Poslední změna: 26. 05. 2015, 20:42:20 od Petr Krčmář »
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.


ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:přenesení Doménového řadiče do jiného subnetu
« Odpověď #1 kdy: 26. 05. 2015, 16:42:21 »
možná jsem se unáhlil a zapoměl spustit na přeneseném stroji:
samba_dnsupdate --verbose

provedl jsem tedy ale skončilo to s chybami:
Kód: [Vybrat]
........
;Comunication with 192.168.6.120#53 failed: operation canceled
could not talk to any default name server
Failed nsupdate: 1
Failed update: 20

zapnul jsem tedy virtuální stroj i na původním subnetu a spustil znova:
Kód: [Vybrat]
;TSIG error with server: tsig verify failure
Failed nsupdate: 2
Failed update of 5 entries
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:přenesení Doménového řadiče do jiného subnetu
« Odpověď #2 kdy: 26. 05. 2015, 16:52:48 »
a teď si ještě všímám, že když z klienta se pokouším dopingnout na hostname virtuálního stroje, stále se směřuje na původní IP(starého subnetu)
vypadá to, jako by měla klientská stanice někde zakořeněný záznam, že hostname DC je původní IP
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

Jan Černohorský

Re:přenesení Doménového řadiče do jiného subnetu
« Odpověď #3 kdy: 26. 05. 2015, 19:29:49 »
Ahoj, nevím na 100% jak se chová přímo samba, ale AD je dost závislé na DNS, a to tak, že bez něj prakticky nefunguje :D (proč to dělat v MS jednoduše, že :D ). No, podle mých zkušeností (alespoň z MS systémů) je po přenosu DC na jinou IP adresu (v případně jiného subnetu je třeba míst správně nastavené routování) třeba zajistit správné DNS překlady těch MS záznamů, na které se klienti ptají. U Windows na to jsou pak nějaké příkazy v cmd nebo případně stačí zrestartovat netlogon službu na DCčku a tím dojde k dynamické změně DNS záznamů.
V praxi jsem ale řešil podobný problém -- klienti se nedokázali s AD na nové adrese spojit (přestože na server v pohodě viděli a DNS záznamy byly správně). Stačilo vymazat cache serveru (u mě je to restart BINDu) a vymazat cache na klientech (Windows -- ipconfig /flushdns). Pak se klienti s DC v pohodě domluvili.
Podle toho, co ti vypsal dynamický update to buď vypadá, že se server nemůže spojit s DNS serverem nebo DNS server odmítá dynamický update z nové IP adresy, což je třeba u BINDu normální (standardně se dynamické aktualizace nepovolují všem).

Tohle je ale jen hrubý (konceptuální) popis toho, jak to vlastně funguje u MS. Pouze se domnívám, že to bude u Samba4 DC podobné.

H.

Jan Černohorský

Re:přenesení Doménového řadiče do jiného subnetu
« Odpověď #4 kdy: 26. 05. 2015, 19:35:25 »
a teď si ještě všímám, že když z klienta se pokouším dopingnout na hostname virtuálního stroje, stále se směřuje na původní IP(starého subnetu)
vypadá to, jako by měla klientská stanice někde zakořeněný záznam, že hostname DC je původní IP

Zeptám se -- klient je Windows nebo Linux. Pokud Windows, tak ty tvrdošíjně jdou po DNS záznamech. Pokud Linux, tak tam se na sambě myslím nastavovalo v konfiguráku, na jaký DC si má sahat (nebo si to možná pletu ještě se Samba3, kde se to nastavovalo v kerberosu...).


ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:přenesení Doménového řadiče do jiného subnetu
« Odpověď #5 kdy: 26. 05. 2015, 19:43:03 »

Citace
Zeptám se -- klient je Windows nebo Linux. Pokud Windows, tak ty tvrdošíjně jdou po DNS záznamech. Pokud Linux, tak tam se na sambě myslím nastavovalo v konfiguráku, na jaký DC si má sahat (nebo si to možná pletu ještě se Samba3, kde se to nastavovalo v kerberosu...).
Klient je windows 7
Ja mam podezdreni ze na tom prenesem stroji pri povelu samba_dnsupdate se deje neco spatne...
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

M.

Re:přenesení Doménového řadiče do jiného subnetu
« Odpověď #6 kdy: 26. 05. 2015, 20:24:21 »
A kam se ten klient odkazuje jako na DNS server, na ten SAMBA4 server? Pokud ano, tak je nejpravděpodobnější, že ten DNS server pořád vrací staré IPčka, že neproběhl ten update.
Co používáš jako DNS server? Interní v Sambě (v smb.conf v máš server services = ........ dns) nebo bind a do něj dělaš dynamický update?
Já používám flatfile, že samba vyrobí TXT soubor se záznamy a ty naimportuji do BINDu (který běží jinde), takže s tím přesunem problém nemám, v podstaě to přepíšu ručně v bindu a jedu dál.
Co máš lokálně v tom DNS, možná se můžeš podívat na AD pomocí:
samba-tool dns query 127.0.0.1 domena.loc @ ALL

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:Přenesení doménového řadiče do jiného subnetu
« Odpověď #7 kdy: 26. 05. 2015, 21:17:19 »
Odkazuje se na samba server...
Samba pouziva interni dns
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

M.

Re:Přenesení doménového řadiče do jiného subnetu
« Odpověď #8 kdy: 26. 05. 2015, 21:51:19 »
V tom případě to vrať zatím na staré IPčka a přemlať záznamy v Sambě ze stanice pomocí MMC DNS manažeru. Viz:
https://wiki.samba.org/index.php/Change_IP_address_of_the_DC

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:Přenesení doménového řadiče do jiného subnetu
« Odpověď #9 kdy: 27. 05. 2015, 12:15:11 »
V tom případě to vrať zatím na staré IPčka a přemlať záznamy v Sambě ze stanice pomocí MMC DNS manažeru. Viz:
https://wiki.samba.org/index.php/Change_IP_address_of_the_DC

nechal jsem to až na dnešek:
1) provedl jsem zálohu virt.stroje
2) dle uvedené wiki nastavil, jen s tím že v tom dns managementu jsem viděl původní i nový A záznam
3) v dns managementu jsem smazal A záznamy směřující na původní IP a dokončil jak je uvedeno díle v postupu
4) přenesl virt.stroj na nový server v jiném subnetu
5) nastavil na windowsim klientu DNS na novou IP virt.stroje ...rebotl
6) klient se úspěšně přihlásil :_)
děkuji moc
a ještě malý poznatek...zentyal(distribuce pro tyto účely) si tyto migrace s IP vyřeší automaticky, ale i tak ho nechci používat...má jiné neduhy
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

M.

Re:Přenesení doménového řadiče do jiného subnetu
« Odpověď #10 kdy: 27. 05. 2015, 12:52:54 »
Copak je za problémy v Zentyalu? zrovna přemášlím, že bych ho možná někde použil v dohledné době, tak zda se mám namáhat.

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:Přenesení doménového řadiče do jiného subnetu
« Odpověď #11 kdy: 27. 05. 2015, 13:25:39 »
Copak je za problémy v Zentyalu? zrovna přemášlím, že bych ho možná někde použil v dohledné době, tak zda se mám namáhat.

nic vážného, třeba přes ten file manager nejde mountovat sitove slozky
co mi vadí - startuje dost dlouho a celkem sezere vykon ve srovnanim s cistym debianem 8 samba4 DC-AD

ale ano, za tu cenu pekneho web interfacu to ma smyl pouzivat
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.