[samba-jp:22358] Re: セカンダリDCのSRVレコード登録について

[nakaml]

こんにちは、仲村です。
たかはしさん、いつもお世話になっております。

> Sambaで構築したADであっても、内蔵のDNSサーバを使っているか、BIND9の
> DLZ機能を使っている場合、正しく構成されていれば、本来は動的に更新
> されるはずです。

ですよね。私のテストサーバーはSAMBA_INTERNALなんですが、
samba-tool domain join では、DNSエントリに追加してくれないのです。
もう少し調べてみますが、samba_dnsupdate がエラーになっているのが
気になるところです。

/usr/local/samba/sbin/samba_dnsupdate --verbose --all-names

最初に作ったDCだと、
TSIG error with server: tsig verify failure

追加したDCでは、
dns_tkey_negotiategss: TKEY is unacceptable


> そもそもADにはプライマリ、セカンダリという概念は存在しないのですが、
> それはひとまずおいておいて……。

そうですよね。この場合なんと呼んだらいいのか・・・
バックアップ？追加ＤＣ？DC2？
ところで、たかはしさんの日記のサーバー落ちてます？
samba4の記事を参考にしたかったのですが、見れなくなってまして。


TAKAHASHI Motonobu/高橋 基信 <monyo ＠ monyo.com> 2014/11/15 2:35:35

> たかはしもとのぶです。
> 
> > samba4のad-dc環境において、障害対策のためセカンダリDCを追加したのですが、
> > プライマリDCをダウンさせると、正常にログオンできなくなってしまいます。
> > 
> > 現在、ログオン要求を処理できるログオン サーバーはありません。 
> > 
> > DNSのエントリにセカンダリDCのSRVレコードが登録されていないので、
> > それが原因だと思うのですが、これはすべて手動で追加していくものでしょうか。
> > プライマリDCのエントリは、ADのゾーンと_msdcsのゾーン以下に
> > それぞれ_kerberos,_ldap,_gcなどが複数登録されていますが、
> > これらすべてをセカンダリDCで同じように登録していけばいいでしょうか。
> 
> そもそもADにはプライマリ、セカンダリという概念は存在しないのですが、
> それはひとまずおいておいて……。
> 
> > これらすべてをセカンダリDCで同じように登録していけばいいでしょうか。
> 
> DCのSRVレコードなどの登録は必要です。
> Windowsで構築したADであれば、デフォルトではDNSの動的更新でこれらの
> 情報は動的に更新されます。
> 
> Sambaで構築したADであっても、内蔵のDNSサーバを使っているか、BIND9の
> DLZ機能を使っている場合、正しく構成されていれば、本来は動的に更新
> されるはずです。
> 
> -- 
> TAKAHASHI Motonobu/高橋 基信 <monyo ＠ monyo.com>