abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 16:22 | IT novinky

Spolkový úřad pro informační bezpečnost (Bundesamt für Sicherheit in der Informationstechnik) schválil používání softwarů Gpg4win a Gpg4KDE, tj. nadstaveb nad GnuPG, pro šifrování a přenos utajovaných informací stupně utajení Vyhrazené (VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD)), EU RESTRICTED a NATO RESTRICTED [reddit].

Ladislav Hagara | Komentářů: 0
včera 12:44 | Humor

Viceprezident společnosti Oracle Matthew O'Keefe napsal na Twitteru: "Kdyby databáze Oracle neexistovala, světová ekonomika by se zastavila. Kdyby většina open source distribuovaných databází neexistovala, byl by svět pro data mnohem bezpečnějším místem". Příspěvek rozpoutal diskusi nejenom na redditu a následně byl z Twitteru smazán (Wayback Machine).

Ladislav Hagara | Komentářů: 14
včera 09:33 | Nová verze

Byla vydána nová verze 1.38 správce síťových připojení ConnMan (Wikipedie). Z novinek lze zdůraznit podporu WireGuardu.

Ladislav Hagara | Komentářů: 0
včera 06:00 | Zajímavý projekt

Byl spuštěn Humble Book Bundle: Cybersecurity 2020 by Wiley. Za 1 euro a více lze koupit 7 elektronických knih, za 7,50 eur a více lze koupit 13 elektronických knih a za 13,50 eur a více lze koupit 20 elektronických knih věnovaných kybernetické bezpečnosti od nakladatelství Wiley. Peníze lze libovolně rozdělit mezi nakladatelství Wiley, Humble Bundle, Electronic Frontier Foundation a Let's Encrypt.

Ladislav Hagara | Komentářů: 0
17.2. 21:55 | Zajímavý článek

Clear Linux je distribuce vyvíjená firmou Intel; vybočuje optimalizací na výkon, pročež se používá např. k běhu benchmarků, ale také pro vývojáře či do cloudu. Recenze na Ars Technica se zaobírá použitím Clear Linuxu jako uživatel: instalace, pozorování rychlosti spouštění Gimpu, správa balíčků a instalace Google Chrome nebo konfigurace OpenZFS. Praktické nasazení mimo specializace, kde je výkon kritický, nakonec nedoporučuje.

Fluttershy, yay! | Komentářů: 4
17.2. 21:44 | Nasazení Linuxu

Jižní Korea se z historických důvodů potýká se silnou závislostí na Microsoftu (konkrétně ActiveX), kterou se snaží postupně odbourat. Na jaře 2019 tamní ministerstvo vnitra oznámilo testování Linuxu na pracovních stanicích. Nyní, po skončení podpory Windows 7, byl přechod potvrzen s cílem omezit závislost na třetí straně a snížit náklady. Do roku 2026 je v plánu, že uživatelé budou používat notebooky s Windows, ale připojovat se na vzdálený linuxový desktop v cloudu. Některá ministerstva již Linux používají.

Fluttershy, yay! | Komentářů: 0
17.2. 16:44 | IT novinky

Vývojář webového prohlížeče Waterfox, forku Mozilla Firefox, veřejně oznámil dokončení přechodu projektu pod správu firmou System1, která na podzim 2019 zřejmě převzala také metavyhledávač Startpage. System1 se zabývá agregací a analýzou uživatelských dat za účelem využití v reklamě, proto např. web PrivacyTools již Startpage nedoporučuje.

Fluttershy, yay! | Komentářů: 11
17.2. 00:11 | Pozvánky

Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 173. brněnský sraz, který proběhne v pátek 21. února od 18:00 v restauraci Suzie's Steakhouse Brno na adrese Kounicova 10.

Ladislav Hagara | Komentářů: 8
16.2. 16:33 | Nová verze

Byla vydána verze 2.0.0 aplikace pro digitální malování MyPaint (Wikipedie). Přehled novinek i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0
16.2. 16:11 | Zajímavý článek

Článek na blogu LibreTechTips představuje a srovnává webové vyhledávače: nejen známé Google, Bing, DuckDuckGo či Yandex, proxy Startpage a Ecosia, ale také nezávislý Mojeek, metavyhledávače Metager a Searx, švýcarský Swisscows a francouzský Qwant. Srovnání spočívá v pohledu na výsledky čtyř hledání a čtyř specifických dotazů jako překlad slova nebo převod jednotek. Nejlépe hodnocený je Searx následovaný Google a s velkým odstupem Bingem, DuckDuckGo, Startpage atd.

Fluttershy, yay! | Komentářů: 18
Vydržela vám novoroční předsevzetí?
 (9%)
 (6%)
 (3%)
 (82%)
Celkem 157 hlasů
 Komentářů: 0
Rozcestník

www.AutoDoc.Cz

Dotaz: Oprava poškozené samby

7.6.2019 09:43 chinook | skóre: 27
Oprava poškozené samby
Přečteno: 415×
Zdědil jsem poškozené servery samby s DC a už nevím co s tím. Snad někdo poradí. Mám dva DC s verzí samby Version 4.2.7. Když jsem to dostal bylo to úplně dojebané, teď to je asi míň. Původně musely být spuštěny oba domain controllery, protože některé win se uměly připojit k jednomu a některé jen k druhému. Každou chvíli byla chyba replikace a muselo se to v různým pořadí restartovat. Ještě tam byl třetí, ale ten ani nevím jak se tam dostal. Fyzicky přítom nebyl. Podle mě někdo jak instaloval druhý, tak jej po instalaci přejmenoval a znovu připojil do domeny.

Po různých opravách v DNS, db začala spolehlivě fungovat replikace a klienti se připojí k libovolnému DC. Přihlašování userů funguje bez problémů.

Co ale nefunguje. GPO. A na win klientech v locations není vidět doména, ale pouze lokální uživatelé. Pokud bych tedy chtěl přidat usera do remote desktop na lokalu, tak ho nenajde. Přitom přihlašování do win funguje, sdílené disky přes usery fungují a net user /domain vypíše usery z domeny.

Co vše jsem udělal:

1 - demotoval ten neexesitující stroj. To proběhlo v pohodě. 2 - opravil DNS. Teď již ze všech DC funguje toto:

ping –c3 tecmint.lan       #Domain Name
vypíše IP jedno DC
$ ping –c3 adc1.tecmint.lan  #FQDN
vypíše IP adc1
$ ping –c3 adc1              #Host
vypíše IP adc1
$ host –t tecmint.lan
vypíše IP jedno DC
$ host –t adc1.tecmint.lan
vypíše IP adc1
$ host –t SRV  _kerberos._udp.tecmint.lan  # UDP Kerberos SRV record
vypise hostname jednotlivých dc ve tvaru adc1.tecmint.lan
$ host -t SRV _ldap._tcp.tecmint.lan # TCP LDAP SRV record
vypise hostname jednotlivých dc ve tvaru adc1.tecmint.lan
host objectGUID._msdcs.tecmint.lan
Vypíše IP odpovídajících IP

Všechny tyto testy DNS jsem ověřil na jednotlivých DC a všude to funguje

cat /etc/hosts
127.0.0.1       localhost


verejnaip dc2.tecmint.lan dc2
verejnaip     dc1.tecmint.lan         dc1


cat /etc/hostname
dc1


cat /etc/resolv.conf
cat /etc/resolv.conf
domain tecmint.lan
search tecmint.lan
nameserver verejnaip toho konkretniho DC

cat /etc/samba/smb.conf
 cat /etc/samba/smb.conf
# Global parameters
[global]
        netbios name = DC1
        realm = TECMINT.LAN
        workgroup = TECMINT
        server role = active directory domain controller

        dns forwarder = 8.8.8.8
log level = 3

[netlogon]
        path = /var/lib/samba/sysvol/tecmint.lan/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

cat /etc/krb5.conf
[libdefaults]
        default_realm = TECMINT.LAN
        dns_lookup_realm = false
        dns_lookup_kdc = true


3 - opravil db příkazem:
samba-tool dbcheck --cross-ncs --fix
4 - na DC1, které má všechny role syncl čas ntp.cesnet.cz. Ostatní DC si syncují čas z DC1

5 - z jednoho stroje přehrál tdbbackup -s .bak /var/lib/samba/private/idmap.ldb na ostatní

6- z jednoho stroje rsyncem syncuji sysvol na ostatni

rsync -XAavz --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@dc2:/usr/local/samba/var/locks/sysvol/
7 - resetoval acl na policies a od té doby příkaz samba-tool ntacl sysvolcheck na žádném DC nic nevypíše takže to je ok.

Po té co jsem udělal kroky výše, doména se stala stabilnější, replikace ani na jednom stroji nehlásí errory. Když jedno DC vypnu klienti se připojí na druhé.

Ale nepomohlo mně to na opravu GPO, jediné co se tedy opravilo je, že je můžu vytvářet. Ale když dám gpupdate, tak to vypíše:

Updating Policy...

User policy could not be updated successfully. The following errors were encount
ered:

The processing of Group Policy failed. Windows could not determine if the user a
nd computer accounts are in the same forest. Ensure the user domain name matches
 the name of a trusted domain that resides in the same forest as the computer ac
count.
Computer Policy update has completed successfully.

To diagnose the failure, review the event log or run GPRESULT /H GPReport.html f
rom the command line to access information about Group Policy results.


C:\GPRESULT /H GPReport.html
INFO: The user "TECMINT\Administrator" does not have RSOP data.
Myslel jsem tedy, že pomůže dát novější sambu. Vzal jsem tedy stroj DC3 se sambou Version 4.5.16-Debian. Připojil do domény, provedl replikaci. Je ještě potřeba něco dělat? Protože když ostatní DC vypnu, tak se ke klientům připojí jen ADMINI, ostatním userům to píše přístup odepřen. Nový stroj jde k novému dc připojit i když vypnu stávajíc dva staré. Replikace ani na jednom ze tří strojů nehlásí chyby.

Zkusil jsem i verzi Version 4.9.8-Debian. Stáhl jsem balík někde z netu, tak snad je ok. Ke stroji se normálně připojila, ale samba nenaběhne.

Jun  7 00:32:35 adc1 winbindd[751]: [2019/06/07 00:32:35.669334,  0] ../source3/winbindd/winbindd_cache.c:3160(initialize_winbindd_cache)
Jun  7 00:32:35 adc1 winbindd[751]:   initialize_winbindd_cache: clearing cache and re-creating with version number 2
Jun  7 00:32:35 adc1 winbindd[751]: [2019/06/07 00:32:35.681141,  0] ../source3/winbindd/winbindd_util.c:131(add_trusted_domain)
Jun  7 00:32:35 adc1 winbindd[751]:   add_trusted_domain: Got null SID for domain [zakaznici]
Jun  7 00:32:35 adc1 winbindd[751]: [2019/06/07 00:32:35.682859,  0] ../source3/winbindd/winbindd_util.c:1245(init_domain_list)
Jun  7 00:32:35 adc1 winbindd[751]:   init_domain_list: init_domain_list_dc failed
Jun  7 00:32:35 adc1 winbindd[751]: [2019/06/07 00:32:35.687269,  0] ../source3/winbindd/winbindd.c:1454(winbindd_register_handlers)
Jun  7 00:32:35 adc1 winbindd[751]:   unable to initialize domain list
Jun  7 00:32:35 adc1 samba: task[winbindd_parent][746]: [2019/06/07 00:32:35.713580,  0] ../source4/winbind/winbindd.c:46(winbindd_done)
Jun  7 00:32:35 adc1 samba: task[winbindd_parent][746]:   winbindd daemon died with exit status 1
Jun  7 00:32:35 adc1 samba: task[winbindd_parent][746]: [2019/06/07 00:32:35.714446,  0] ../source4/smbd/service_task.c:36(task_server_terminate)
Jun  7 00:32:35 adc1 samba: task[winbindd_parent][746]:   task_server_terminate: task_server_terminate: [winbindd child process exited]

Napadá někoho čím by to ještě mohlo být? Dá se nějak nastavení resetovat na defaultní hodnoty? Případně co dál ještě lze udělat?

Odpovědi

10.6.2019 09:01 chinook | skóre: 27
Rozbalit Rozbalit vše Re: Oprava poškozené samby
Nikdo neví? Je možné vyzálohovat pouze počítače a uživatele a vše obnovit do nového čistého DC?

Případně, pokud chci provést update samby a vše jsem zrepklikoval do nového DC, je ještě něco co je potřeba udělat, aby to fungovalo?
otula avatar 10.6.2019 09:43 otula | skóre: 44 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Oprava poškozené samby
Je možné vyzálohovat pouze počítače a uživatele a vše obnovit do nového čistého DC?
To bude asi nejjednodušší dělat z Windows. Nikdy jsem to netestoval, ale snad by mohlo fungovat tohle: Active Directory user backup and recovery tool.

Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.
11.6.2019 12:24 chinook | skóre: 27
Rozbalit Rozbalit vše Re: Oprava poškozené samby
Díky, to bych zkusil jako poslední možnost.
11.6.2019 13:12 chinook | skóre: 27
Rozbalit Rozbalit vše Re: Oprava poškozené samby
čím to může být, když stavající DC má verzi samby: samby Version 4.2.7

Já to replikoval na nový server s verzí samby: Version 4.5.16-Debian

Ale tam se user nemůže připojit. Přitom DC uživatele zná, replikace nehlási chyby. Nové windows k té doméně připojím. Ale usera z windows již ne. Ale pokud toho stejného uživatele přihlásím přes ssh na dc, tak se autentizuje. Ale ve windows to píše přístup odepřen.
18.6.2019 16:59 chinook | skóre: 27
Rozbalit Rozbalit vše Re: Oprava poškozené samby
V logu jsem našel tyto věci, nemůže to být příčina?

[2019/06/17 06:25:12.544457,  2] ../source3/winbindd/winbindd_rpc.c:333(rpc_name_to_sid)
  name_to_sid: failed to lookup name: NT_STATUS_NONE_MAPPED

[2019/06/18 16:41:19.417299,  3] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: target ^B does not have secrets at this KDC, need to proxy
[2019/06/18 16:41:19.417363,  3] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Failed building TGS-REP to ipv4:x.x.x.x:10079
[2019/06/18 16:41:19.417424,  3] ../source4/smbd/service_stream.c:66(stream_terminate_connection)
  Terminating connection - 'kdc_tcp_call_loop: proxying requested when not RODC'

[2019/06/18 16:41:23.777427,  3] ../lib/ldb-samba/ldb_wrap.c:325(ldb_wrap_connect)
  ldb_wrap open of secrets.ldb

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.