[samba-jp:22715] samba ad冗長化でつまづく

2016年 4月 20日 (水) 20:41:02 JST

須藤です。初めまして。

　sambaをactive directory serverとして設定しておりますが、
冗長化のため2台目を設定している途中でつまづきました。


　raspberrypi2を先にAD&DNSとして立ち上げ済みです。
(2台共samba 4.4.2 + debian 8.0)

https://wiki.samba.org/index.php/Join_an_additional_Samba_DC_to_an_existing_Active_Directory

　上記を見ながら、2台目（raspberrypi1）を設定してみましたがkerberos周りで
KDCをFQDNで記述すると解決に失敗しました。

　もし、類似の事象などご存知でしたらお知恵をお貸しください。

宜しくお願い致します。


raspberrypi1.yamatomura.local	192.168.0.20	
raspberrypi2.yamatomura.local	192.168.0.21	（こちらを先に環境構築）


　KDCをFQDNで記述すると名前解決に失敗した様子。

root ＠ raspberrypi1:/etc# KRB5_TRACE=/dev/stdout kinit administrator
[1376] 1461143529.229625: Getting initial credentials for administrator ＠ YAMATOMURA.LOCAL
[1376] 1461143529.232019: Sending request (183 bytes) to YAMATOMURA.LOCAL
[1376] 1461143529.232324: Resolving hostname raspberrypi2.yamatomura.local
[1376] 1461143534.238077: Resolving hostname raspberrypi2.yamatomura.local
kinit: Cannot contact any KDC for realm 'YAMATOMURA.LOCAL' while getting initial credentials

　名前解決は出来ている様です。

root ＠ raspberrypi1:/etc# host -t A raspberrypi2.yamatomura.local
raspberrypi2.yamatomura.local has address 192.168.0.21


　KDCをIPアドレス指定だと正しく認証されました。

krb5.confを以下に記述してみた。
[libdefaults]
      default_realm = YAMATOMURA.LOCAL
      dns_lookup_realm = false
      dns_lookup_kdc = true

[realms]
      YAMATOMURA.LOCAL = {
      kdc = 192.168.0.21
      admin_server = raspberrypi2.yamatomura.local
      }

root ＠ raspberrypi1:/etc# KRB5_TRACE=/dev/stdout kinit administrator
[1378] 1461143650.452009: Getting initial credentials for administrator ＠ YAMATOMURA.LOCAL
[1378] 1461143650.454310: Sending request (183 bytes) to YAMATOMURA.LOCAL
[1378] 1461143650.454638: Resolving hostname 192.168.0.21
[1378] 1461143650.455431: Sending initial UDP request to dgram 192.168.0.21:88
[1378] 1461143650.493870: Received answer (301 bytes) from dgram 192.168.0.21:88
[1378] 1461143650.500055: Response was not from master KDC
[1378] 1461143650.501132: Received error from KDC: -1765328359/Additional pre-authentication required
[1378] 1461143650.502265: Processing preauth types: 16, 15, 2, 19samba-jp-owner ＠ samba.gr.jp
---
SUDO Masayuki
zabadak ＠ me.com
sudou ＠ highspec.org