[Sysadmins] Обновление samba-DC 4.7.12 ->4.9.13

[Alex Moskalenko]

Evgeny Sinelnikov писал 02.10.2019 17:18:
> 3) "Коллеги, использующие ALT p8 или p9 с samba в качестве AD DC с
> DNS-бэкэндом BIND9_DLZ, подскажите, работает ли у вас обновление 
> записей
> DNS клиентами Windows и samba_dnsupdate?"
> 
> Давайте определимся с критерием проверки.
> - Что проверяем? Win7 в домене? или samba-клиент?
> - Какие ошибки возникают при попытке обновления записей DNS?
> 
> Нужны конкретные команды, и вывод и более подробный лог ошибок. Можно
> лично. Когда протестирую, перешлю уже проанализированные подробности.
> Но лучше сразу сюда, просто объём может быть большим, поэтому обычно
> поэтому обходятся минимальными подробностями.

Мои проблемы описаны еще в апреле в списке рассылки samba - 
https://lists.altlinux.org/pipermail/samba/2019-April/004329.html
И даже баг в багзилле заведен - 
https://bugzilla.altlinux.org/show_bug.cgi?id=36563

Проверяем безопасные обновления DNS, как с клиентов (Win10, 
Win2019Server), так и с самого DC с помощью samba_dnsupdate.
С клиентов - ipconfig /registerdns, с самого DC - samba_dnsupdate. 
Тестировал домен с 3мя DC - ALT, Ubuntu server 18.04 и Debian Buster 10. 
На текущий момент samba везде одинаковая - 4.10.8 (в ALT P9 - штатная, в 
Ubuntu - из ppa School linux, в Debian - из репозитория van-belle.nl.

Везде, кроме ALT, зоны успешно обновляются как клиентами, так и 
samba_dnsupdate. На ALT же имеем в логах записи вида:
2019-04-04T11:21:17.993406+03:00 dc0 named[14068]: client 
@0x7f01141236c0 192.168.0.11#35595/key DC0\$\@AD.LOCAL: update failed: 
not authoritative for update zone (NOTAUTH)
2019-04-04T11:21:18.017841+03:00 dc0 named[14068]: client 
@0x7f0104031eb0 192.168.0.11#48267/key DC0\$\@AD.LOCAL: update failed: 
not authoritative for update zone (NOTAUTH)

На Ubuntu и на Debian в том же AD все работает штатно:
Oct  2 17:12:42 dc1 named[15268]: samba_dlz: starting transaction on 
zone ad.local
Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of 
signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36 
type=AAAA 
key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of 
signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36 
type=A 
key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of 
signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36 
type=A 
key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0 
192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone 
'ad.local/NONE': deleting rrset at 'pc-001.ad.local' AAAA
Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0 
192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone 
'ad.local/NONE': deleting rrset at 'pc-001.ad.local' A
Oct  2 17:12:42 dc1 named[15268]: samba_dlz: subtracted rdataset 
pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36'
Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0 
192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone 
'ad.local/NONE': adding an RR at 'pc-001.ad.local' A 192.168.0.36
Oct  2 17:12:42 dc1 named[15268]: samba_dlz: added rdataset 
pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36'
Oct  2 17:12:42 dc1 named[15268]: samba_dlz: committed transaction on 
zone ad.local

При этом на ALT при переключении на SAMBA_INTERNAL обновление зон DNS с 
клиентов также не работает. Хотя в логах на сервере при этом пусто (на 
loglevel по умолчанию), а на клиентах - предупреждения о невозможности 
обновить записи A и AAAA.

Готов предоставить дополнительную информацию или даже тестовый стенд, 
хотя ничего особенного в конфигурации у меня нет. Та же ситуация 
получается при чистой установке с samba-tool domain provision.

Дальнейшее наверное имеет смысл обсуждать в рамках бага в багзилле, чтоб 
не захламлять рассылку логами и т.п., а сюда уже написать резюме.