[samba] P7 - ещё проблемы после обновлений Samba

Вс Июн 11 09:30:10 MSK 2017

Здравствуйте!

7 июня 2017 г., 14:36 пользователь  <kae на tut.by> написал:
> Здравствуйте!
>
> 13.04.2017, 22:24, "А. Куликовский" <kae на tut.by>:
>> Есть сервер на P7, контроллер NT-домена + ещё один комп на P7 и куча под
>> виндовс. 13 апреля установил обновления, после чего компьютеры в сети
>> стали недоступны за двумя исключениями:
>> - если юзер без пароля, то всё работает (sambaAcctFlags [NU ])
>> - на сервер-контроллер домена монтируются шары с других компьютеров,
>> которые как под виндовс, так и под самбой.
>>
> Проблема в конце концов решена переводом и клиентов и сервер на NTLMv2, но, обнаружилась новая.
>
> После перезагрузки сервера появились проблемы со входом пользователей:
>
> - если компьютер был выключен или сеанс пользователя на нем был завершен, то может не открыть сеанс ("Вход в систему невозможен. Проверьте правильность имени пользователя и домена и повторите ввод пароля. ...");
>
> - если пользователю не разрешен вход на этот комп, то в любом случае выводит, что сюда ему нельзя;
>
> - если пользователь не закрывал сеанс, то после перезагрузки сервера всё работает;
>
> - перезагрузка виндов может помочь, но обычно требуется перезагружать много раз;
>
> - в "сетевом окружении" видны все включеные компы, но открыть шАры можно только на тех компах, на которых можно открыть сеанс пользователя;
>
> - есть "предпочитаемые" компы на которых проблемы возникают гораздо реже.
>
> - для "проблемных" компов в /var/log/samba ничего не пишется, даже файлы не создаются...
>
> Такое бывало и раньше при отключении электропитания, но последнее время проблемы после корректной перезагрузки. Такое ощущение, что где-то что-то переполняется/не очищается/ограничено количество/ и т.д.
>
> Вот, например, в /var/lib/samba/msg.lock всегда не более 15 файлов, т.е. всего 15 процессов nmbd+smbd.  ЕМНИП бывало по одному на клиента.
>
> И, да, это не AD, а "олдскульный" домен NT. Почти все компы под XP.

Только дочитав до этого места, я примерно представил инфраструктуру, о
которой идёт речь. Что мы имеем?
- "олдскульный" домен NT (никогда такое не настраивал, всегда
отказывался от не AD в пользу krb5kdc хотя бы);
- Windows клиенты (никогда не интересовался такими клиентами - в
адекватной среде, то есть в AD, они обычно работают).

Чтобы разобраться в проблеме, того, что вы описали, мало. Это всего
лишь поверхностный анализ проблемных вариантов использования. К ним
нужно привязать логи и полный набор конфигов (скорее всего, не только
samba). Кстати, чтобы в /var/log/samba что-то писалось, нужно
постепенно повышать log level в smb.conf.

Далее проблему нужно уметь воспроизвести. Вообще вариантов реального
решения, а не подбора - "А попробуйте-ка так..." - всего два. Либо вы
даёте доступ на площадку. Либо человек, который решает проблему,
воспроизводит вашу площадку в миниатюре или даже в полный рост.

Поскольку вопросов по миграции Альт домена довольно много, я готов
реализовать второй сценарий. Правда у этого сценария есть одна
проблема - сервер, если вы уточните детали настроек, я воспроизведу.
Но что мне делать с клиентами? Во-первых у меня их нет и мне нужно
искать какое-то тестовое палево. Во-вторых, мне нужно описание - как
вы с ними в NT-домене работаете.

"Ну, и доколе?" Доколе мы будем пытаться поддерживать windows клиентов
в инфраструктуре, которую даже Microsoft не особо поддерживает? Но это
риторический вопрос. А вот конкретные:

> - если компьютер был выключен или сеанс пользователя на нем был завершен, то может не открыть сеанс ("Вход в систему невозможен. Проверьте правильность имени пользователя и домена и повторите ввод пароля. ...");

"может не открыть сеанс" это значит, что пользователь не может,
вообще, войти в систему? или иногда не может войти в систему после
очередной перезагруки?

> - если пользователю не разрешен вход на этот комп, то в любом случае выводит, что сюда ему нельзя;

здесь не понимаю. куда, сюда ему нельзя и кто и что выводит? Ну, если
на комп "пользователю не разрешен вход", то почему должно быть что--то
можно?

> - если пользователь не закрывал сеанс, то после перезагрузки сервера всё работает;

Работает потом всё время? То есть проблемы "может не открыть сеанс" с
ним вообще не происходит?

> - перезагрузка виндов может помочь, но обычно требуется перезагружать много раз;

Нужны логи - повышайте log level.

> - в "сетевом окружении" видны все включеные компы, но открыть шАры можно только на тех компах, на которых можно открыть сеанс пользователя;

А это разве не логично?

-- 
Sin (Sinelnikov Evgeny)