[samba-jp:23024] Re: IPアドレスではアクセスできるのにホスト名ではアクセスできません
nakaml
nakafumi_ml @ yahoo.co.jp
2020年 1月 30日 (木) 09:42:48 JST
こんにちは。
件の問題とは関係ないかもしれませんが、設定を見て気になったことを2つほど。
> idmap config AD : range = 10000 - 69999
> idmap config AD : base_rid = 0
> idmap config AD : backend = rid
> idmap config * : range = 10000 - 69999
> idmap config * : base_rid = 0
> idmap config * : backend = rid
AD移行前でも同じ conf で問題なかったのなら何とも言えませんが、
rangeの範囲が重複してます。あと、この場合の*のバックエンドは、
tdb を使っている例が多いです。
> winbind use default domain = Yes
当方の samba-4.9.5 でこの設定があると、共有フォルダにアクセスしたときに
NT_STATUS_NO_SUCH_GROUP というエラーが出たことがありました。
----- Original Message -----
> From: KOBAYASHI Takashi <t-kobayashi @ organ-ndl.co.jp>
> To: 'nakaml' <nakafumi_ml @ yahoo.co.jp>; 'Sambaについての様々な質疑応答用' <samba-jp @ samba.gr.jp>
> Cc:
> Date: 2020/1/29, Wed 13:34
> Subject: RE: [samba-jp:23020] Re: IPアドレスではアクセスできるのにホスト名ではアクセスできません
>
> ご返信下さいまして有難うございます。
> ご助言のとおり、次のようにドメインから離脱後、再度ドメインに参加してみましたが、結果は変わりませんでした。
>
> ----------
>
> ①所属しているドメインから離脱させる
> # net ads leave -U administrator
>
> ②DCからコンピュータアカウントが削除されていることを確認
>
> ③事前確認
> # nslookup -type=srv _ldap._tcp.AD.LOCAL
> # host -t SRV _ldap._tcp.pdc._msdcs.ad.local.
>
> ④Sambaデーモンの停止
> # service smb stop
> # service nmb stop
> # service winbind stop
>
> ⑤ドメインへの参加
> # net ads join -U Administrator
>
> ⑥コンピュータアカウントが生成されていることを確認
>
> ⑦Sambaの起動
> # service smb start
> # service nmb start
> # service winbind start
>
> ⑧事後確認(認証情報を聞かれることなくアクセスできるか?)
>
> ----------
>
> サーバーの再起動も実施してみたのですが、変化ありませんでした。
> 他に確認できることはございますでしょうか?
>
>
>
> -----Original Message-----
> From: samba-jp <samba-jp-bounces @ samba.gr.jp> On Behalf Of nakaml
> Sent: Tuesday, January 28, 2020 1:06 PM
> To: Sambaについての様々な質疑応答用 <samba-jp @ samba.gr.jp>
> Subject: [samba-jp:23020] Re: IPアドレスではアクセスできるのにホスト名ではアクセスできません
>
> こんにちは。
>
> IPアドレスでアクセスできるがマシン名でできない、
> 共有マシンまではアクセスできているが共有フォルダが開けない、
> とすると、ADのケルベロス認証に問題がある気がしますが、
> DCを移行した際に、マシン情報を正しく引き継げなかったと仮定して、
>
> ファイルサーバーを一度ドメインから離脱して再参加してみてはどうでしょう。
>
>
> ----- Original Message -----
>> From: KOBAYASHI Takashi <t-kobayashi @ organ-ndl.co.jp>
>> To: 'Sambaについての様々な質疑応答用' <samba-jp @ samba.gr.jp>
>> Cc:
>> Date: 2020/1/22, Wed 14:45
>> Subject: [samba-jp:23017] Re: IPアドレスではアクセスできるのにホスト名ではアクセスできません
>>
>> ご返信下さいまして有難うございます。
>> PC側のWINSサーバを指定する設定は、移行後のDCである172.30.1.11になっています。このサーバーでWINSも稼働中です。
>>
>> -----Original Message-----
>> From: samba-jp <samba-jp-bounces @ samba.gr.jp> On Behalf Of YANO
>> Takashi
>> Sent: Wednesday, January 22, 2020 12:34 PM
>> To: samba-jp @ samba.gr.jp
>> Subject: [samba-jp:23016] Re: IPアドレスではアクセスできるのにホスト名ではアクセスできません
>>
>> 矢野です。
>>
>> PC側のWINSサーバを指定する設定はどうなっているでしょうか。
>>
>> 2020-01-22 09:01 に KOBAYASHI Takashi さんは書きました:
>>> 皆さんこんにちは、小林と申します。
>>>
>>> ActiveDirectoryのドメインコントローラー(以下DC)を別のサーバーに移行したの
>>> ですが、移行後、以前からドメインに参加しているSambaの共有フォルダにIPアドレ
>>> スではアクセスできるのにホスト名ではアクセスできなくなってしまい、困っており
>>> ます。以前のようにホスト名でアクセスできるようにするにはどうしたらよいか、御
>>> 教示を賜りたく、お願い申し上げます。
>>>
>>>
>> ----------------------------------------------------------------------
>> ------
>>> ------------------------
>>> 環境は次のとおりです。
>>>
>>> ■移行前のDC
>>> OS: Windows Server 2008 R2
>>> ドメイン名: AD.LOCAL
>>> ホスト名: DC1
>>> IPアドレス: 172.20.1.11
>>>
>>> ■移行後のDC
>>> OS: Windows Server 2016
>>> ドメイン名: AD.LOCAL(変更なし)
>>> ホスト名: DC1(変更無し)
>>> IPアドレス: 172.30.1.11
>>>
>>> ■ファイルサーバー
>>> CentOS release 6.10 (Final)
>>> Samba Version 3.6.23-51.el6
>>> ホスト名: FS1
>>> IPアドレス: 172.20.1.12
>>>
>>> ■現象
>>>
> \\dc1でも\\172.30.1.11でも共有フォルダの表示は可能ですが、\\dc1の場合のみ、
>>> アクセス権のある共有フォルダにアクセスしても、ユーザー名とパスワードの入力が
>>> 求められ、「アクセスが拒否されました」というエラーになります。
>>>
>>>
>> ----------------------------------------------------------------------
>> ------
>>> ------------------------
>>> ファイルサーバーの各種設定ファイルは次のとおりです。
>>>
>>> ■/etc/hosts
>>> 127.0.0.1 localhost.localdomain localhost.localdomain
>>> localhost4
>>> localhost4.localdomain4 localhost
>>> ::1 localhost.localdomain localhost.localdomain localhost6
>>> localhost6.localdomain6 localhost
>>> 172.30.1.11 dc1.ad.local dc1
>>> 172.20.1.12 fs1.ad.local fs1
>>>
>>> ■/etc/resolv.conf
>>> ; generated by /sbin/dhclient-script search ad.local nameserver
>>> 172.30.1.11
>>>
>>> ■/etc/sysconfig/network-scripts/ifcfg-eth0
>>> DEVICE=eth0
>>> HWADDR=xx:xx:xx:xx:xx:xx
>>> TYPE=Ethernet
>>> UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
>>> ONBOOT=yes
>>> NM_CONTROLLED=yes
>>> BOOTPROTO=none
>>> IPADDR=172.20.1.12
>>> NETMASK=255.255.255.0
>>> GATEWAY=172.20.1.1
>>> DNS1=172.30.1.11
>>> IPV6INIT=no
>>> USERCTL=no
>>> PEERDNS=yes
>>>
>>> ■/etc/krb5.conf
>>> [logging]
>>> default = FILE:/var/log/krb5libs.log
>>> kdc = FILE:/var/log/krb5kdc.log
>>> admin_server = FILE:/var/log/kadmind.log
>>>
>>> [libdefaults]
>>> default_realm = AD.LOCAL
>>> dns_lookup_realm = false
>>> dns_lookup_kdc = false
>>> ticket_lifetime = 24h
>>> renew_lifetime = 7d
>>> forwardable = true
>>>
>>> [realms]
>>> AD.LOCAL = {
>>> kdc = dc1.ad.local:88
>>> admin_server = dc1.ad.local:749
>>> default_domain = ad.local
>>> }
>>>
>>> [domain_realm]
>>> .ad.local = AD.LOCAL
>>> ad.local = AD.LOCAL
>>>
>>> ■smb.conf
>>> [global]
>>> dos charset = CP932
>>> display charset = UTF-8
>>> workgroup = AD
>>> realm = AD.LOCAL
>>> server string = ファイルサーバー
>>> security = ADS
>>> obey pam restrictions = Yes
>>> map untrusted to domain = Yes
>>> log file = /var/log/samba/log.%m
>>> max log size = 50
>>> client signing = required
>>> wins server = 172.30.1.11
>>> ldap ssl = no
>>> host msdfs = No
>>> template homedir = /home/%U
>>> winbind enum users = Yes
>>> winbind enum groups = Yes
>>> winbind use default domain = Yes
>>> recycle:exclude = *.tmp ~$* *.ldb *.laccdb
>>> recycle:maxsize = 0
>>> recycle:touch = yes
>>> recycle:versions = yes
>>> recycle:keeptree = yes
>>> recycle:directory_mode = 0775
>>> recycle:repository = .recycle
>>> idmap config AD : range = 10000 - 69999
>>> idmap config AD : base_rid = 0
>>> idmap config AD : backend = rid
>>> idmap config * : range = 10000 - 69999
>>> idmap config * : base_rid = 0
>>> idmap config * : backend = rid
>>> create mask = 0664
>>> directory mask = 0775
>>> force directory mode = 02000
>>> inherit permissions = Yes
>>> inherit acls = Yes
>>> nt acl support = No
>>> delete veto files = Yes
>>> store dos attributes = Yes
>>> blocking locks = No
>>> oplocks = No
>>> dos filemode = Yes
>>> dos filetime resolution = Yes
>>> fake directory create times = Yes
>>> vfs objects = recycle
>>> [000掲示板]
>>> comment = 000:掲示板
>>> path = /data/samba/share000
>>> valid users = @AD\dl_samba_users_a,
> @AD\dl_samba_users_b
>>> write list = @AD\dl_samba_users_a,
> @AD\dl_samba_users_b
>>> [900稟議]
>>> comment = 900:稟議
>>> path = /data/samba/share900
>>> valid users = @AD\dl_samba_users_a
>>> write list = @AD\dl_samba_users_a
>>>
>>>
>> ----------------------------------------------------------------------
>> ------
>>> ------------------------
>>>
>>> グループAD\dl_samba_users_bのメンバーは [900稟議] にはアクセスできないのは当
>>> 然として [000掲示板] にはアクセスできる筈ですが、上述のようなエラーが発生し
>>> てしまいます。
>>>
>>> 確認のためのコマンド実行結果は次のとおりです。
>>>
>>> # nslookup -type=srv _ldap._tcp.AD.LOCAL
>>> Server: 172.30.1.11
>>> Address: 172.30.1.11#53
>>>
>>> _ldap._tcp.AD.LOCAL service = 0 100 389 dc1.ad.local.
>>>
>>> # net ads join -U Administrator
>>> Enter Administrator's password:
>>> Using short domain name -- AD
>>> Joined 'FS1' to dns domain 'ad.local'
>>>
>>> 以上、どうか御教示を賜りたく、お願い申し上げます。
>>
>> --
>> YANO Takashi
>>
>
samba-jp メーリングリストの案内