FreeNAS 11 + AD Win2k12 R2 Standart

[Ethereal^flame]

Ребят, всем привет.
Который день бьюсь - не могу никак подружить FreeNAS с доменом.
Делал все по инструкции, у FreeNAS'a добавлен DNS - ip-адрес контроллера домена (192.168.0.3), все имена в обе стороны резолвятся.
При входе в домен, вот что пишет в консольке FreeNAS:

"
Oct 6 12:06:35 freenas ActiveDirectory: kerberos_status: klist -t
Oct 6 12:06:35 freenas ActiveDirectory: kerberos_status: Failed
Oct 6 12:06:36 freenas ActiveDirectory: /usr/local/bin/python /usr/local/bin/midclt call notifier.stop cifs
Oct 6 12:06:37 freenas ActiveDirectory: /usr/sbin/service ix-hostname quietstart
Oct 6 12:06:38 freenas ActiveDirectory: /usr/sbin/service ix-kerberos quietstart default STK.LOC
Oct 6 12:06:39 freenas ActiveDirectory: /usr/sbin/service ix-nsswitch quietstart
Oct 6 12:06:39 freenas ActiveDirectory: /usr/sbin/service ix-ldap quietstart
Oct 6 12:06:39 freenas ActiveDirectory: /usr/sbin/service ix-kinit quietstart
Oct 6 12:06:40 freenas ActiveDirectory: kerberos_start: /usr/bin/kinit --renewable --password-file=/tmp/tmp.os59vmu3 freenasAdm@STK.LOC
Oct 6 12:06:41 freenas ActiveDirectory: kerberos_start: Failed
Oct 6 12:06:41 freenas ActiveDirectory: /usr/sbin/service ix-kinit status
Oct 6 12:06:41 freenas ActiveDirectory: kerberos_status: klist -t
Oct 6 12:06:41 freenas ActiveDirectory: kerberos_status: Failed
Oct 6 12:06:42 freenas uwsgi: [middleware.exceptions:36] [MiddlewareError: b'\xd0\x9d\xd0\xb5 \xd1\x83\xd0\xb4\xd0\xb0\xd0\xbb\xd0\xbe\xd1\x81\xd1\x8c \xd0\xbf\xd0\xb5\xd1\x80\xd0\xb5\xd0\xb7\xd0\xb0\xd0\xb3\xd1\x80\xd1\x83\xd0\xb7\xd0\xb8\xd1\x82\xd1\x8c Active Directory.']


Ерунда какая-то, и при запуске этой команды вот что выдаёт:
root@freenas:~ # service ix-kinit start
kinit: krb5_get_init_creds: unable to reach any KDC in realm STK.LOC
Типа не может найти КД в STK.LOC
Из-за чего такое?

 

[Mihalich]

Покажите общие настройки сети (сводка сети) фринаса и расширенные настройки службы каталогов AD

 

[Ethereal^flame]

Смотрите. Уже все перековырял - не выходит и все.
Делал по этому мануалу:
https://forums.freenas.org/index.ph...ined-2012-r2-ad-after-days-of-struggle.44334/

 

[Mihalich]

Сравниваю со своим.
1. У вас доменное имя и контроллер домена (у меня вообще не указан) совпадают, а такого быть не может.
2. Нету галок мониторинг и Использовать домен по умолчанию и должна стоять "Включено"
3. Обёртка SASL у меня "plain"
И сводки сети нет, ну будем считать, что вы её правильно настроили. DC и фринас в одной сети расположены?

 

[Ethereal^flame]

Сравниваю со своим.
1. У вас доменное имя и контроллер домена (у меня вообще не указан) совпадают, а такого быть не может.
2. Нету галок мониторинг и Использовать домен по умолчанию и должна стоять "Включено"
3. Обёртка SASL у меня "plain"
И сводки сети нет, ну будем считать, что вы её правильно настроили. DC и фринас в одной сети расположены?

1. Это я игрался всяко-разно, сделал так, как Вы сказали;
2. Сделал;
3. Поставил SASL "plain";
4. Сводку сети добавил (сперва не понял, что вы имели в виду, потом догнал).
5. DC и фринас однозначно в одной сети, у моей сети маска /20 (4095 адресов), друг друга пингуют и через DNS все норм резолвится в обе стороны.

При этих настройках FreeNAS отбивает ошибку в консоли и вверху на экране, когда пытаешься войти в домен:

Code:

Oct  6 18:04:58 freenas ActiveDirectory: kerberos_status: klist -t
Oct  6 18:04:58 freenas ActiveDirectory: kerberos_status: Failed
Oct  6 18:04:59 freenas uwsgi: [middleware.exceptions:36] [MiddlewareError: b'\xd0\x9d\xd0\xb5 \xd1\x83\xd0\xb4\xd0\xb0\xd0\xbb\xd0\xbe\xd1\x81\xd1\x8c \xd0\xbf\xd0\xb5\xd1\x80\xd0\xb5\xd0\xb7\xd0\xb0\xd0\xb3\xd1\x80\xd1\x83\xd0\xb7\xd0\xb8\xd1\x82\xd1\x8c Active Directory.']

 

[Mihalich]

Часики на фринасе точно ходят, время и часовой пояс такие же как и на КД?
Доменное имя напишите маленькими буквами (как в мануале), х.з. вдруг это имеет значение.
На всякий случай уточню: учётка freenasAdm с правами администратора домена? В паролях не должен использоваться символ "$".
На КД случайно шифрование не используется типа SSL?
У меня ещё галка стоит: Разрешить обновление DNS.
Я так понимаю вы вручную добавили записи в ДНС и АД по той инструкции? Если да, то удалите их и попробуйте сделать по мануалу.
Версия фринаса последняя 11.0-U4 установлена? И что у вас там за предупреждение критическое висит?
В качестве NTP у меня предпочитаемый адрес моего домена указан (STK.LOC по вашему) и вторым нтп шлюз, остальное удалено.

А можно ещё настройки SMB глянуть?

 

[Ethereal^flame]

1. Да, т.к. мой домен является сервером времени и время везде одинаково (во FreeNAS'e выставлен NTP сервер - IP адрес 192.168.0.3 как раз того КД), все проверял, все до секунды правильно;
2. Пробовал писать маленькими - нифига...

Часики на фринасе точно ходят, время и часовой пояс такие же как и на КД?
Доменное имя напишите маленькими буквами (как в мануале), х.з. вдруг это имеет значение.
На всякий случай уточню: учётка freenasAdm с правами администратора домена? В паролях не должен использоваться символ "$".
На КД случайно шифрование не используется типа SSL?
У меня ещё галка стоит: Разрешить обновление DNS.
Я так понимаю вы вручную добавили записи в ДНС и АД по той инструкции? Если да, то удалите их и попробуйте сделать по мануалу.
Версия фринаса последняя 11.0-U4 установлена? И что у вас там за предупреждение критическое висит?
В качестве NTP у меня предпочитаемый адрес моего домена указан (STK.LOC по вашему) и вторым нтп шлюз, остальное удалено.

А можно ещё настройки SMB глянуть?

3. freenasAdm учетка является администратором домена и даже администратором самого сервера, в пароле нету символа "$", только буквы и цифры;
4. Как узнать, используется ли шифрование на КД? Но я пробовал выставлять во FreeNAS'е шифрование на КД - ошибку отбивало все время, перестало отбивать, когда выключил его, полагаю, что на КД его нету;
5. Поставил галку "Разрешить обновление DNS" - ничего не изменилось, та же ошибка отбивается;
6. Просто добавил "А" запись на КД в "DNS" - Зоны прямого просмотра -> stk.loc и добавил запись FreeNAS, после этого он стал резолвиться по имени FreeNAS и с IP 192.168.0.25, или может как-то по-другому нужно сделать? Скрин прилагаю;
7. Версия Фринаса - FreeNAS-11.0-U4 (54848d13b);
8. У меня IP указан в кач-ве NTP сервера КД - 192.168.0.3 и все норм синхронится;
9. Заметил, что почему-то служба SMB постоянно в "стопе", хз почему, вот настройки (скрин. прилагаю).

 

[Mihalich]

У меня:
DOS-кодировка CP1251
маски не заданы
"Разрешить пустой пароль" - снято
Версии протоколов: SMB2 - SMB3
и стоит галка IP-адрес
остальное так же как и у вас
И самое главное служба SMB должна работать: без неё ни хрена не получится.

Гы... Только сейчас заметил: у меня в ДНС нет записей о фринасе и он не пингуется по полному имени "ping freenas.my.domain.com", а по имени хоста без проблем "ping freenas"

 

[Ethereal^flame]

У меня:
DOS-кодировка CP1251
маски не заданы
"Разрешить пустой пароль" - снято
Версии протоколов: SMB2 - SMB3
и стоит галка IP-адрес
остальное так же как и у вас
И самое главное служба SMB должна работать: без неё ни хрена не получится.

Гы... Только сейчас заметил: у меня в ДНС нет записей о фринасе и он не пингуется по полному имени "ping freenas.my.domain.com", а по имени хоста без проблем "ping freenas"

Сделал всё как у Вас - результат такой же, опять ошибка. Видимо, у меня косяк где-то в SMB, иначе почему он периодически стопится?

 

[Mihalich]

надо в логах самбы ковыряться
Если мне память не изменяет, SMB должна сама стартануть после подключения к АД

 

[Yuriy]

На панели "Active Directory" не раскрывайте "Advansed setting", в русском интерфейсе - переключитесь в "Базовый режим". Настроек в этом режиме достаточно для подключения.

Я подозреваю, что вы попались на ту же ошибку, что и я - в поле "Контроллер домена" в расширенном режиме указали полное имя сервера - FQDN, как указано в подсказке, хотя в документации указано, что надо писать NetBIOS имя контроллера домена.

Почитайте
Bug #25358

https://bugs.freenas.org/issues/25358

 

[Ethereal^flame]

На панели "Active Directory" не раскрывайте "Advansed setting", в русском интерфейсе - переключитесь в "Базовый режим". Настроек в этом режиме достаточно для подключения.

Я подозреваю, что вы попались на ту же ошибку, что и я - в поле "Контроллер домена" в расширенном режиме указали полное имя сервера - FQDN, как указано в подсказке, хотя в документации указано, что надо писать NetBIOS имя контроллера домена.

Почитайте
Bug #25358

https://bugs.freenas.org/issues/25358

Приветствую, Юрий!
Не помогло, пробовал и в базовом режиме (не в "Advanced") делать минимальные настройки и подключаться - нифига, пробовал и в "Advanced" указывать имя контроллера домена: STK и сервер глобального каталога STK - отбивает ошибку (см. скрин).

 

[Yuriy]

Почему имя домена совпадает с именем контроллера домена? Если в базовом режиме указать имя домена, и DNS настроен правильно, то FreeNAS сам определяет имя контроллера домена.

 

[Ethereal^flame]

Почему имя домена совпадает с именем контроллера домена? Если в базовом режиме указать имя домена, и DNS настроен правильно, то FreeNAS сам определяет имя контроллера домена.

Ну смотрите, всё убрал из "Расширенного режима", оставил только базовый. Вот при таком раскладе видно, как сверху отбивает эту ошибку (см. скрин)

 

[Yuriy]

Скажите, а какое имя контроллера домена? Действительно совпадает с именем домена?

На всякий случай, проверьте, что для FreeNAS создана обратная запись в DNS.

 

[Ethereal^flame]

Скажите, а какое имя контроллера домена? Действительно совпадает с именем домена?

На всякий случай, проверьте, что для FreeNAS создана обратная запись в DNS.

Имя контроллера домена - это имеется в виду NetBIOS-имя или какое?
Есть сервер Windows 2k12 R2, у него NetBIOS-имя в сети: STK-DC-02, если его пинговать с любой машинки в сети, то резолвится имя:

Code:

C:\Users\adm>ping stk-dc-02

Обмен пакетами с STK-DC-02.stk.loc [192.168.0.3] с 32 байтами данных:
Ответ от 192.168.0.3: число байт=32 время=1мс TTL=128

Имя домена: STK


В обратной DNS-зоне (REVERSE) ничего не создано, нужно прямо именно обратную запись создавать?
Создана "A" запись в "Зона прямого просмотра" -> stk.loc -> FreeNAS узел "А" IP 192.168.0.25 (скрин выше выкладывал).

 

[Yuriy]

Пинг по IP 192.168.0.3 и по имени STK-DC-02 и STK-DC-02.stk.loc с FreeNAS проходит?

 

[Ethereal^flame]

Пинг по IP 192.168.0.3 и по имени STK-DC-02 и STK-DC-02.stk.loc с FreeNAS проходит?

Да, FreeNAS с консольки отлично пингует как по 192.168.0.3, так по STK-DC-02, так и по STK-DC-02.stk.loc - везде резолвится IP 192.168.0.3

 

[Yuriy]

В обратной DNS-зоне (REVERSE) ничего не создано, нужно прямо именно обратную запись создавать?
Создана "A" запись в "Зона прямого просмотра" -> stk.loc -> FreeNAS узел "А" IP 192.168.0.25 (скрин выше выкладывал)

Можно в свойствах прямой записи на DNS поставить галку "обновить PRT запись", или что-то вроде этого. Если запись не обновилась, то создать вручную. Это обязательно. Но не уверен, что в этом дело.
Привожу свои настройки по Kerberos - скриншот.

 

[Mihalich]

Можно в свойствах прямой записи на DNS поставить галку "обновить PRT запись", или что-то вроде этого.

"Создать соответствующую PTR-запись" она называется.
Если у вас не один КД, то указывать их не нужно ни контроллер, ни глобальный каталог