[samba-jp:22354] Re: samba-tool domain classicupgrade を行ったsamba4で 「Failed DNS update - NT_STATUS_IO_TIMEOUT」

nakaml nakafumi_ml @ yahoo.co.jp
2014年 11月 11日 (火) 18:13:33 JST


こんにちは、仲村です。
今自分も似たような環境でsamba4への移行をテストしているところです。

akiyamaさんは、DNSをBIND9_DLZとしたようですが、
自分の場合はSAMBA_INTERNALとし、BIND9で稼働中のDNSをforwarder先にして
いますが、今のところ問題なく動いてくれています。

ですので、Failed DNS update についての的確なアドバイスはできませんが、
/usr/local/samba/lib/bind9/dlz_bind9.so
このあたりをnamed.confに記述するのではないでしょうか。

ところで、CentOS7の使い勝手はどうですか?
自分も元環境がCentOS5のopenldap2.3+samba3.6のドメインですので、
AD環境もCentOS7でいこうと思ったのですが、ネットワーク設定などの
ツール関係が変更されているみたいで、早々に諦めてしまいました(^_^;)



Akiyama Masahiro <akiyama.masahiro @ gmail.com> 2014/11/09 13:16:06

> はじめまして。akiyamaと申します。
> 
> 
> 下の環境でsamba4を起動すると、
> ../source4/dsdb/dns/dns_update.c:294: Failed DNS update -
> NT_STATUS_IO_TIMEOUT
> が発生しています。
> 
> 実行環境
>     ・CentOS 7.0 on CentOS7.0 ( KVM)
>     ・samba 4.13 (コンパイルしてインストール)
>     ・bind9 (yumからインストール)
>     ・ntp(yumからインストール)
> 
> これまでは Centos 5.3にyumでインストールしたsamba3.5を利用していた
> PDCを samba4へ移行を考えています。samba3.5でのドメイン名は「EXAMPLE」です。
> 
> 
> 移行するときに実行したコマンドは下の通りです。
> /usr/local/samba/bin/samba-tool domain classicupgrade \
>   --dbdir=/usr/local/src/samba3-to-samba4/var/lib/samba/private \
>   --use-xattrs=yes --realm=example.co.jp --dns-backend=BIND9_DLZ \
>   --use-ntvfs /usr/local/src/samba3-to-samba4/etc/samba/smb.conf
> 
> 移行後の環境で
> /usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator -c 'ls'
>> kinit administrator @ EXAMPLE.CO.JP
> は正常に動作しています。
> 
> DNSへのアクセスが失敗しているのかと思ったのですが、dig の正引きは行えます。
> また、tcpdumpで見ていると bindは通信していそうです。
> 11:56:12.075508 IP ad.example.co.jp.43245 > ad.example.co.jp.domain: 19613+
> SRV? _ldap._tcp.example.co.jp. (43)
> 11:56:12.075718 IP ad.example.co.jp.domain > ad.example.co.jp.43245: 19613
> 0/1/0 (93)
> 
> 「Failed DNS update - NT_STATUS_IO_TIMEOUT」となる原因を教えて
> たいだけませんか。
> 
> ■/usr/local/samba/etc/smb.conf
> -- 
> --------------------------------------------------------------------------
> # Global parameters
> [global]
>         workgroup = EXAMPLE
>         realm = EXAMPLE.CO.JP
>         netbios name = AD
>         server role = active directory domain controller
>         # server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl,
> winbind, ntp_signd, kcc, dnsupdate, dns, smb
>         server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl,
> winbind, ntp_signd, kcc, dnsupdate, smb
>         dcerpc endpoint servers = epmapper, wkssvc, rpcecho, samr,
> netlogon, lsarpc, spoolss, drsuapi, dssetup, unixinfo, browser, eventlog6,
> backupkey, dnsserver, winreg, srvsvc
>         idmap_ldb:use rfc2307 = yes
> 
> [netlogon]
>         path = /usr/local/samba/var/locks/sysvol/example/scripts
>         read only = No
> 
> [sysvol]
>         path = /usr/local/samba/var/locks/sysvol
>         read only = No
> 
> 
> ■named.conf
> -- 
> --------------------------------------------------------------------------
> //
> // named.conf
> //
> // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
> // server as a caching only nameserver (as a localhost DNS resolver only).
> //
> // See /usr/share/doc/bind*/sample/ for example named configuration files.
> //
> 
> options {
>         # listen-on port 53 { 127.0.0.1; };
>         # listen-on-v6 port 53 { ::1; };
>         listen-on-v6 port 53 { none; };
>         directory       "/var/named";
>         dump-file       "data/cache_dump.db";
>         statistics-file "data/named_stats.txt";
>         memstatistics-file "data/named_mem_stats.txt";
>         #allow-query     { localhost; };
>         allow-query     { localhost; 192.168.0.0/16; };
> 
>         allow-transfer { localhost; 192.168.0.0/16; };
> 
>         /*
>          - If you are building an AUTHORITATIVE DNS server, do NOT enable
> recursion.
>          - If you are building a RECURSIVE (caching) DNS server, you need
> to enable
>            recursion.
>          - If your recursive DNS server has a public IP address, you MUST
> enable access
>            control to limit queries to your legitimate users. Failing to do
> so will
>            cause your server to become part of large scale DNS amplification
>            attacks. Implementing BCP38 within your network would greatly
>            reduce such attack surface
>         */
>         recursion yes;
> 
>         dnssec-enable yes;
>         dnssec-validation yes;
>         dnssec-lookaside auto;
> 
>         /* Path to ISC DLV key */
>         bindkeys-file "/etc/named.iscdlv.key";
> 
>         managed-keys-directory "dynamic";
> 
>         pid-file "/run/named/named.pid";
>         session-keyfile "/run/named/session.key";
> 
>         /* */
>         tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
> };
> 
> logging {
>         channel default_debug {
>                 file "data/named.run";
>                 severity dynamic;
>                 #severity debug;
>                 print-time yes;
>                 print-severity yes;
>                 print-category yes;
>         };
> 
>         category update {
>                "default_debug";
>         };
> };
> 
> #zone "." IN {
> #       type hint;
> #       file "named.ca";
> #};
> #
> #include "/etc/named.rfc1912.zones";
> #include "/etc/named.root.key";
> view "internal" {
>         match-clients {
>                 localhost;
>                 192.168.0.0/16;
>         };
>         zone "." IN {
>                 type hint;
>                 file "named.ca";
>         };
>         zone "11.168.192.in-addr.arpa" IN {
>                 type master;
>                 file "11.168.192.rev";
>                 allow-update { 192.168.0.0/16; };
>         };
> #    zone "example.co.jp" {
> #            type master;
> #            file "example.co.jp.hosts";
> #            allow-update { 192.168.0.0/16; };
> #    };
>     include "/etc/named.rfc1912.zones";
>     include "/etc/named.root.key";
> 
>     include "/usr/local/samba/private/named.conf";
> };



samba-jp メーリングリストの案内