[samba] Samba DCs, Domain Members и DNS

Ср Фев 9 16:00:16 MSK 2022

Evgeny Sinelnikov писал 09.02.2022 00:59:
> Доброй ночи,
Здравствуйте!

>> 1. Возможно ли указать где-либо список серверов, которым нужно 
>> отсылать
>> notify-сообщения об обновлениях зоны? В данный момент в качестве
>> slave-серверов к Samba DC c BIND_DLZ подключены несколько других 
>> bind'ов
>> в качестве slave'ов. Зону они обновляют исключительно по таймеру
>> Refresh, указанному в SOA. Можно ли где-нибудь указать Bind'у на DC 
>> или
>> samba, чтобы они слали notify-сообщения дополнительным серверам (типа
>> also-notify в конфигурации bind, который непонятно куда и как писать в
>> случае с Samba DLZ)?
> 
> Это интересный вопрос. Я, с ходу не могу на него ответить - нужно
> разбираться. И с плагином, в целом, и с его возможностями. Давайте
> сформируем минимальный конфиг бинда (всех используемых биндов) для
> взаимного воспроизведения ожидаемого поведения.

Честно говоря, не знаю даже, что тут формировать для master'а с плагином 
BIND_DLZ. Все зоны для AD с их параметрами формируются внутри плагина. В 
самом конфиге bind даже некуда прописывать их параметры - описаний зон 
AD-то нет... Тут наверное именно в BIND_DLZ вопросы. В свойствах зоны в 
консоли управления DNS есть вкладка "Передачи зон", на которой находятся 
все нужные настройки - и адреса серверов, на которые зоны можно 
передавать, и адреса серверов, на которые уведомления об изменениях зоны 
рассылать. Но при попытке их изменить кроме ошибок RPC ничего не 
получается, да и по умолчанию они действительности не соответствуют (на 
samba 4.14.10 по крайней мере) - галочка "Разрешить передачи зон" 
отсутствует, а зона отдается всем желающим...

На slave'ах все тривиально:

zone "domain.local" {
  type slave;
  masters { dc0.add.re.ss; dc1.add.re.ss; };
}

>> 2. Как правильно регистрировать Doman Member'ов в Ad DNS? При 
>> включении
>> в домен samba регистрирует A-запись для себя, но после ничего с ней не
>> делает и обновлять регистрацию не пытается. Соответственно (на DC
>> включен scavenging), через некоторое время запись из DNS чистится. Как
>> сделать правильно - что-то настроить в конфиге samba Domain Member,
>> чтобы она периодически обновляла регистрацию DNS (не нашел такого в
>> документации) или прописывать статическую запись и на Samba не 
>> рассчитывать?
> 
> Samba за этот не отвечает. На клиентах она вообще, как служба, не
> обязательна. А вот winbind нужен (иногда и без него можно обойтись, но
> не стоит в общем случае).
> На машинах в домене мы, по умолчанию, используем SSSD. Он умеет
> обновлять записи через nsupdate сам.
Спасибо, у меня ситуация проще - Domain Member'ами являются файловые 
серверы, адреса у них статические, соответственно, я из просто пропишу 
как статические записи вручную. Спросил потому, что samba при net ads 
join зарегистрировала их в DNS, вот я и думал, что может что-то 
недонастроил и обновлять регистрацию samba должна сама.

> Ещё один момент про "правильно".
> В некоторых сценариях для обновления DNS-записей используется DHCP:
> https://wiki.samba.org/index.php/Configure_DHCP_to_update_DNS_records
> 
> В этом случае обновление везде на клиентах пытаются отключать (винда
> не всегда слушается и всё равно пытается лезть сама). Делается это для
> всяких "не умных" клиентов не в домене.
> 
> Спорное решение, хотя там есть свои доводы.
> 
> Для этого варианта, в чистом виде, нужно выносить наш DHCP из
> chroot'а. Делается это, в первом приближении, следующим образом:
Этот вариант у меня также используется - DHCP регистрирует в DNS разные 
устройства, которые не Windows. Я даже баг в свое время вешал на 
создание control'а для dhcpd по аналогии с bind для вытаскивания оного 
из chroot - https://bugzilla.altlinux.org/36509 с патчами, но, видимо, 
это совсем никому не интересно...

PS Меня, честно говоря, больше беспокоит проблема синхронизации uid'ов 
между несколькими DC в домене... Очень сильно беспокоит... (см. мое же 
письмо в рассылке от 25.01.2022 13:01)