7
Samba AD TSIG error
Hallo,
ich bin gerade dabei zum ersten Mal eine AD auf Basis von Samba4 aufzubauen. Ich hatte jetzt schon mehrere Testumgebungen gefahren und bisher lief das immer relativ reibungslos. Jetzt will ich das zum ersten Mal in die Routine übernehmen und schon gehen die Probleme los... kurze Übersicht:
Zwei Domaincontroller dc0 (10.4.0.17) und dc1 (104.0.18). Auf beiden läuft Debian 11 und Samba 4.13.13. Ein Unix Domain Member Debian 11 'FS0' mit IP 10.4.0.21 und ein Windows Client 'testclient' mit 10.4.4.18.
Der Unix Member hatte am Vortag noch ohne Probleme joinen können. Danach habe ich ihn Testweise wieder herausgekantet und nun kommt folgender Fehler beim Join:
Also geschaut und tatsächlich kein DNS-Eintrag für den Computer gefunden. Mit "samba_dnsupdate --verbose --all-names" versucht eine Update zu erzwingen, folgender Fehler wird angezeigt:
Leider habe ich im Internetz per Google kein Problem dieser Art gefunden. Nur im Zusammenhang mit dem Paket "sssd", das ich aber nicht verwende, sondern ganz normal libnss-winbind.
Testweise dann auch mal den Windows Client raus gehauen und wieder gejoint. Der Join funktioniert augenscheinlich, aber es wird kein DNS Update vollzogen. Beide Rechner kann ich aber per RSAT und ADUC finden, aber eben nicht im DNS.
DNS-Dienst läuft ebenfalls und ich kann auch mit nslookup Namen auflösen, aber nur welche die schon drin waren oder manuell erzeugt wurden.
Jemand eine Idee woran das liegt?
Gruß
ich bin gerade dabei zum ersten Mal eine AD auf Basis von Samba4 aufzubauen. Ich hatte jetzt schon mehrere Testumgebungen gefahren und bisher lief das immer relativ reibungslos. Jetzt will ich das zum ersten Mal in die Routine übernehmen und schon gehen die Probleme los... kurze Übersicht:
Zwei Domaincontroller dc0 (10.4.0.17) und dc1 (104.0.18). Auf beiden läuft Debian 11 und Samba 4.13.13. Ein Unix Domain Member Debian 11 'FS0' mit IP 10.4.0.21 und ein Windows Client 'testclient' mit 10.4.4.18.
Der Unix Member hatte am Vortag noch ohne Probleme joinen können. Danach habe ich ihn Testweise wieder herausgekantet und nun kommt folgender Fehler beim Join:
root@fs0:~# net ads join -U Administrator
Enter Administrator's password:
Using short domain name -- SAMDOM
Joined 'FS0' to dns domain 'samdom.example.de'
DNS Update for fs0.samdom.example.de failed: ERROR_DNS_UPDATE_FAILED
DNS update failed: NT_STATUS_UNSUCCESSFULAlso geschaut und tatsächlich kein DNS-Eintrag für den Computer gefunden. Mit "samba_dnsupdate --verbose --all-names" versucht eine Update zu erzwingen, folgender Fehler wird angezeigt:
; TSIG error with server: tsig verify failure
Failed nsupdate: 2
Failed update of 29 entriesLeider habe ich im Internetz per Google kein Problem dieser Art gefunden. Nur im Zusammenhang mit dem Paket "sssd", das ich aber nicht verwende, sondern ganz normal libnss-winbind.
Testweise dann auch mal den Windows Client raus gehauen und wieder gejoint. Der Join funktioniert augenscheinlich, aber es wird kein DNS Update vollzogen. Beide Rechner kann ich aber per RSAT und ADUC finden, aber eben nicht im DNS.
DNS-Dienst läuft ebenfalls und ich kann auch mit nslookup Namen auflösen, aber nur welche die schon drin waren oder manuell erzeugt wurden.
Jemand eine Idee woran das liegt?
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1571634068
Url: https://administrator.de/contentid/1571634068
Printed on: April 19, 2024 at 18:04 o'clock
7 Comments
Latest comment
moinsen,
mal drauf geschaut welcher DNS verwendet wird ?
Wie wurde die AD gebaut - mit bind dns oder dem samba-internen?
mal drauf geschaut welcher DNS verwendet wird ?
Wie wurde die AD gebaut - mit bind dns oder dem samba-internen?
Ich habe bewusst den samba_internal verwendet, da ich mir die sideeffects mit dem bind ersparen wollte.
Provisionierung mit:
Provisionierung mit:
samba-tool domain provision --server-role=dc --use-rfc2307 --dns-backend=SAMBA_INTERNAL --realm=SAMDOM-EXAMPLE.DE --domain=SAMDOM --adminpass=
Diese Links bin ich schon mehrmals durchgegangen. Da habe ich keine Lösung gefunden.
Interessant ist das ich nachdem Join mit Windows-Client und danach in der cmd ausführe, auch ein DNS-Eintrag erzeugt wird.
Beim Join mit dem Debian als Member und dem Befehl "net ads join -U Administrator" wird aber letzteres schon initial ausgeführt. Da klappt es nicht.
Interessant ist das ich nachdem Join mit Windows-Client und danach in der cmd
ipconfig /registerdnsBeim Join mit dem Debian als Member und dem Befehl "net ads join -U Administrator" wird aber letzteres schon initial ausgeführt. Da klappt es nicht.
was sagt denn das samba-log ?
wie log-level in der smb.conf gesetzt ?
ggf mal log-level in der smb.conf heraufsetzen.
wo wurde samba_dnsupdate durchgeführt ?
läuft auf dem FS0 auch ein dns-server ?
was passiert bei einem joun mittels adcli ?
adcli join bzw adcli update
wie log-level in der smb.conf gesetzt ?
ggf mal log-level in der smb.conf heraufsetzen.
wo wurde samba_dnsupdate durchgeführt ?
läuft auf dem FS0 auch ein dns-server ?
was passiert bei einem joun mittels adcli ?
adcli join bzw adcli update
Ok, jetzt verstehe ich die Welt nicht mehr. Gerade wegen dem 'log level' nochmal den Dienst "samba-ad-dc.service" neugestartet und plötzlich funktioniert der Join ohne Fehler.
Verstehe ich nicht.
Die Fehler aus dem samba_dnsupdate bleiben, aber wenn ich das richtig verstanden habe. Soll das sogar so sein. Weil er die Einträge aus dem /var/lib/samba/private/dns_update_list abgleicht und wenn diese bereits vorhanden sind, er diese nicht überschreibt. Das wäre OK.
Aus dem Link von lists.samba.org geht hervor das der Fehler "tsig verify failure" nur ein kosmetischer Fehler sei. Dieser aber wohl keine Bedeutung hat. Es kam mir eben komisch vor das plötzlich das DNS Update beim Join nicht mehr funktioniert. Woran es jetzt gescheitert ist die ganze Zeit... mysteriös.
Verstehe ich nicht.
Die Fehler aus dem samba_dnsupdate bleiben, aber wenn ich das richtig verstanden habe. Soll das sogar so sein. Weil er die Einträge aus dem /var/lib/samba/private/dns_update_list abgleicht und wenn diese bereits vorhanden sind, er diese nicht überschreibt. Das wäre OK.
Aus dem Link von lists.samba.org geht hervor das der Fehler "tsig verify failure" nur ein kosmetischer Fehler sei. Dieser aber wohl keine Bedeutung hat. Es kam mir eben komisch vor das plötzlich das DNS Update beim Join nicht mehr funktioniert. Woran es jetzt gescheitert ist die ganze Zeit... mysteriös.
schön, einfach mal das ganze beobachten.
;)
viel spass
;)
viel spass
