Samba AD TSIG error

Hallo,

ich bin gerade dabei zum ersten Mal eine AD auf Basis von Samba4 aufzubauen. Ich hatte jetzt schon mehrere Testumgebungen gefahren und bisher lief das immer relativ reibungslos. Jetzt will ich das zum ersten Mal in die Routine übernehmen und schon gehen die Probleme los... kurze Übersicht:

Zwei Domaincontroller dc0 (10.4.0.17) und dc1 (104.0.18). Auf beiden läuft Debian 11 und Samba 4.13.13. Ein Unix Domain Member Debian 11 'FS0' mit IP 10.4.0.21 und ein Windows Client 'testclient' mit 10.4.4.18.

Der Unix Member hatte am Vortag noch ohne Probleme joinen können. Danach habe ich ihn Testweise wieder herausgekantet und nun kommt folgender Fehler beim Join:

root@fs0:~# net ads join -U Administrator
Enter Administrator's password:  
Using short domain name -- SAMDOM
Joined 'FS0' to dns domain 'samdom.example.de'  
DNS Update for fs0.samdom.example.de failed: ERROR_DNS_UPDATE_FAILED
DNS update failed: NT_STATUS_UNSUCCESSFUL

Also geschaut und tatsächlich kein DNS-Eintrag für den Computer gefunden. Mit "samba_dnsupdate --verbose --all-names" versucht eine Update zu erzwingen, folgender Fehler wird angezeigt:

; TSIG error with server: tsig verify failure
Failed nsupdate: 2
Failed update of 29 entries

Leider habe ich im Internetz per Google kein Problem dieser Art gefunden. Nur im Zusammenhang mit dem Paket "sssd", das ich aber nicht verwende, sondern ganz normal libnss-winbind.

Testweise dann auch mal den Windows Client raus gehauen und wieder gejoint. Der Join funktioniert augenscheinlich, aber es wird kein DNS Update vollzogen. Beide Rechner kann ich aber per RSAT und ADUC finden, aber eben nicht im DNS.

DNS-Dienst läuft ebenfalls und ich kann auch mit nslookup Namen auflösen, aber nur welche die schon drin waren oder manuell erzeugt wurden.

Jemand eine Idee woran das liegt?

Gruß

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 1571634068

Url: https://administrator.de/contentid/1571634068

Ausgedruckt am: 23.11.2024 um 11:11 Uhr

7 Kommentare

Neuester Kommentar

moinsen,
mal drauf geschaut welcher DNS verwendet wird ?
Wie wurde die AD gebaut - mit bind dns oder dem samba-internen?

Ich habe bewusst den samba_internal verwendet, da ich mir die sideeffects mit dem bind ersparen wollte.

Provisionierung mit:

samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=SAMBA_INTERNAL --realm=SAMDOM-EXAMPLE.DE --domain=SAMDOM --adminpass=

evtl hilfreich

https://wiki.samba.org/index.php/DNS_Administration
https://lists.samba.org/archive/samba/2019-August/225203.html

Diese Links bin ich schon mehrmals durchgegangen. Da habe ich keine Lösung gefunden.

Interessant ist das ich nachdem Join mit Windows-Client und danach in der cmd

ipconfig /registerdns

ausführe, auch ein DNS-Eintrag erzeugt wird.

Beim Join mit dem Debian als Member und dem Befehl "net ads join -U Administrator" wird aber letzteres schon initial ausgeführt. Da klappt es nicht.

was sagt denn das samba-log ?
wie log-level in der smb.conf gesetzt ?
ggf mal log-level in der smb.conf heraufsetzen.

wo wurde samba_dnsupdate durchgeführt ?
läuft auf dem FS0 auch ein dns-server ?

was passiert bei einem joun mittels adcli ?
adcli join bzw adcli update

Ok, jetzt verstehe ich die Welt nicht mehr. Gerade wegen dem 'log level' nochmal den Dienst "samba-ad-dc.service" neugestartet und plötzlich funktioniert der Join ohne Fehler.

Verstehe ich nicht.

Die Fehler aus dem samba_dnsupdate bleiben, aber wenn ich das richtig verstanden habe. Soll das sogar so sein. Weil er die Einträge aus dem /var/lib/samba/private/dns_update_list abgleicht und wenn diese bereits vorhanden sind, er diese nicht überschreibt. Das wäre OK.

Aus dem Link von lists.samba.org geht hervor das der Fehler "tsig verify failure" nur ein kosmetischer Fehler sei. Dieser aber wohl keine Bedeutung hat. Es kam mir eben komisch vor das plötzlich das DNS Update beim Join nicht mehr funktioniert. Woran es jetzt gescheitert ist die ganze Zeit... mysteriös.