[samba-jp:22355] Re: samba-tool domain classicupgrade を行ったsamba4で 「Failed DNS update - NT_STATUS_IO_TIMEOUT」
masahiro akiyama
akiyama.masahiro @ gmail.com
2014年 11月 12日 (水) 15:09:29 JST
中村さま
返信ありがとうございます。akiyama です。
教えていただいた dlz_bind9.so の読み込みは
/etc/named.conf で /usr/local/samba/private/named.conf を
includeしています。/usr/local/samba/private/named.conf は
dlz "AD DNS Zone" {
# For BIND 9.8.0
#database "dlopen /usr/local/samba/lib/bind9/dlz_bind9.so";
# For BIND 9.9.0
database "dlopen /usr/local/samba/lib/bind9/dlz_bind9_9.so";
};
としてあるので、読み込みを行えていると思います。
bindは非chroot で起動しました。bindを起動した時にエラーが出ていないので
読み込めているかなと思っています。
> 自分の場合はSAMBA_INTERNALとし、BIND9で稼働中のDNSをforwarder先にして
> いますが、今のところ問題なく動いてくれています。
bindとsambaを分けて管理できそうなので、この方法を試してみます。
CentOS7の使い心地は、ネットワークとサービス管理が変更になっているので
1回は断念しています。ファイヤーウォールの設定変更を行うだけでも、
最初は手間取りました。慣れるまではGUIで設定する方が楽なので、
GUIで設定変更した後にコマンドで変更内容を確認するなどして、
勉強しています。
CentOS7の良さは仮想化の管理が楽になったと感じています。
Dockerを簡単にインストールできるのと、
virt-managerがCentOS5と比べて使いやすくなっていました。
(2014/11/11 18:13), nakaml wrote:
> こんにちは、仲村です。
> 今自分も似たような環境でsamba4への移行をテストしているところです。
>
> akiyamaさんは、DNSをBIND9_DLZとしたようですが、
> 自分の場合はSAMBA_INTERNALとし、BIND9で稼働中のDNSをforwarder先にして
> いますが、今のところ問題なく動いてくれています。
>
> ですので、Failed DNS update についての的確なアドバイスはできませんが、
> /usr/local/samba/lib/bind9/dlz_bind9.so
> このあたりをnamed.confに記述するのではないでしょうか。
>
> ところで、CentOS7の使い勝手はどうですか?
> 自分も元環境がCentOS5のopenldap2.3+samba3.6のドメインですので、
> AD環境もCentOS7でいこうと思ったのですが、ネットワーク設定などの
> ツール関係が変更されているみたいで、早々に諦めてしまいました(^_^;)
>
>
>
> Akiyama Masahiro <akiyama.masahiro @ gmail.com> 2014/11/09 13:16:06
>
>> はじめまして。akiyamaと申します。
>>
>>
>> 下の環境でsamba4を起動すると、
>> ../source4/dsdb/dns/dns_update.c:294: Failed DNS update -
>> NT_STATUS_IO_TIMEOUT
>> が発生しています。
>>
>> 実行環境
>> ・CentOS 7.0 on CentOS7.0 ( KVM)
>> ・samba 4.13 (コンパイルしてインストール)
>> ・bind9 (yumからインストール)
>> ・ntp(yumからインストール)
>>
>> これまでは Centos 5.3にyumでインストールしたsamba3.5を利用していた
>> PDCを samba4へ移行を考えています。samba3.5でのドメイン名は「EXAMPLE」です。
>>
>>
>> 移行するときに実行したコマンドは下の通りです。
>> /usr/local/samba/bin/samba-tool domain classicupgrade \
>> --dbdir=/usr/local/src/samba3-to-samba4/var/lib/samba/private \
>> --use-xattrs=yes --realm=example.co.jp --dns-backend=BIND9_DLZ \
>> --use-ntvfs /usr/local/src/samba3-to-samba4/etc/samba/smb.conf
>>
>> 移行後の環境で
>> /usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator -c 'ls'
>> や
>> kinit administrator @ EXAMPLE.CO.JP
>> は正常に動作しています。
>>
>> DNSへのアクセスが失敗しているのかと思ったのですが、dig の正引きは行えます。
>> また、tcpdumpで見ていると bindは通信していそうです。
>> 11:56:12.075508 IP ad.example.co.jp.43245 > ad.example.co.jp.domain: 19613+
>> SRV? _ldap._tcp.example.co.jp. (43)
>> 11:56:12.075718 IP ad.example.co.jp.domain > ad.example.co.jp.43245: 19613
>> 0/1/0 (93)
>>
>> 「Failed DNS update - NT_STATUS_IO_TIMEOUT」となる原因を教えて
>> たいだけませんか。
>>
>> ■/usr/local/samba/etc/smb.conf
>> --
>> --------------------------------------------------------------------------
>> # Global parameters
>> [global]
>> workgroup = EXAMPLE
>> realm = EXAMPLE.CO.JP
>> netbios name = AD
>> server role = active directory domain controller
>> # server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl,
>> winbind, ntp_signd, kcc, dnsupdate, dns, smb
>> server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl,
>> winbind, ntp_signd, kcc, dnsupdate, smb
>> dcerpc endpoint servers = epmapper, wkssvc, rpcecho, samr,
>> netlogon, lsarpc, spoolss, drsuapi, dssetup, unixinfo, browser, eventlog6,
>> backupkey, dnsserver, winreg, srvsvc
>> idmap_ldb:use rfc2307 = yes
>>
>> [netlogon]
>> path = /usr/local/samba/var/locks/sysvol/example/scripts
>> read only = No
>>
>> [sysvol]
>> path = /usr/local/samba/var/locks/sysvol
>> read only = No
>>
>>
>> ■named.conf
>> --
>> --------------------------------------------------------------------------
>> //
>> // named.conf
>> //
>> // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
>> // server as a caching only nameserver (as a localhost DNS resolver only).
>> //
>> // See /usr/share/doc/bind*/sample/ for example named configuration files.
>> //
>>
>> options {
>> # listen-on port 53 { 127.0.0.1; };
>> # listen-on-v6 port 53 { ::1; };
>> listen-on-v6 port 53 { none; };
>> directory "/var/named";
>> dump-file "data/cache_dump.db";
>> statistics-file "data/named_stats.txt";
>> memstatistics-file "data/named_mem_stats.txt";
>> #allow-query { localhost; };
>> allow-query { localhost; 192.168.0.0/16; };
>>
>> allow-transfer { localhost; 192.168.0.0/16; };
>>
>> /*
>> - If you are building an AUTHORITATIVE DNS server, do NOT enable
>> recursion.
>> - If you are building a RECURSIVE (caching) DNS server, you need
>> to enable
>> recursion.
>> - If your recursive DNS server has a public IP address, you MUST
>> enable access
>> control to limit queries to your legitimate users. Failing to do
>> so will
>> cause your server to become part of large scale DNS amplification
>> attacks. Implementing BCP38 within your network would greatly
>> reduce such attack surface
>> */
>> recursion yes;
>>
>> dnssec-enable yes;
>> dnssec-validation yes;
>> dnssec-lookaside auto;
>>
>> /* Path to ISC DLV key */
>> bindkeys-file "/etc/named.iscdlv.key";
>>
>> managed-keys-directory "dynamic";
>>
>> pid-file "/run/named/named.pid";
>> session-keyfile "/run/named/session.key";
>>
>> /* */
>> tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
>> };
>>
>> logging {
>> channel default_debug {
>> file "data/named.run";
>> severity dynamic;
>> #severity debug;
>> print-time yes;
>> print-severity yes;
>> print-category yes;
>> };
>>
>> category update {
>> "default_debug";
>> };
>> };
>>
>> #zone "." IN {
>> # type hint;
>> # file "named.ca";
>> #};
>> #
>> #include "/etc/named.rfc1912.zones";
>> #include "/etc/named.root.key";
>> view "internal" {
>> match-clients {
>> localhost;
>> 192.168.0.0/16;
>> };
>> zone "." IN {
>> type hint;
>> file "named.ca";
>> };
>> zone "11.168.192.in-addr.arpa" IN {
>> type master;
>> file "11.168.192.rev";
>> allow-update { 192.168.0.0/16; };
>> };
>> # zone "example.co.jp" {
>> # type master;
>> # file "example.co.jp.hosts";
>> # allow-update { 192.168.0.0/16; };
>> # };
>> include "/etc/named.rfc1912.zones";
>> include "/etc/named.root.key";
>>
>> include "/usr/local/samba/private/named.conf";
>> };
>
>
samba-jp メーリングリストの案内