Skip to content

Document Header

Установка и настройка samba 4 server в режиме Domain Controller

Установка и настройка samba 4 server в режиме Domain Controller published on 33 комментария к записи Установка и настройка samba 4 server в режиме Domain Controller

Этот текст основан на Samba 4 AD DC HOWTO, но имеет некоторые существенные дополнения.

Если вы собираете samba 4 из исходников и у вас нет 100% уверенности в успехе, то настоятельно рекомендую 1-ую установку проводить на тестовом стенде. Samba 4 критична к зависимостям, установка пройдет без ошибок, а проблемы могут возникнуть на стадии поднятия AD или при работе с ним.

При установке будем использовать:
Installation Directory: /usr/local/samba
Server Hostname: pdc
DNS Domain Name: test.loc
NT4 Domain Name: test
IP Address: 192.168.1.2
Server Role: DC

Скачиваем последний релиз samba 4 с официального сайта. В моем случае это 4.0.3

Распаковываем:

# tar –zxf samba-4.0.3.tar.gz

Установка/обновление

Если хотите «отловить» не установленные зависимости или дополнительные компоненты можно, например, так:

# ./configure --enable-debug --enable-selftest > /root/samba4.log 2>&1
# cat /root/samba4.log | grep "not found" > /root/samba4_not_found.log

Стандартная установка, рекомендованная разработчиками такая:

# ./configure --enable-debug --enable-selftest
# make
# make install

Добавляем запись в /etc/resolv.conf:

domain test.loc
nameserver 192.168.1.2

C wikipedia: «Так как Avahi использует зону .local для своих целей, эту зону нельзя использовать в локальной сети. Однако .local может уже использоваться в локальной сети, и перестраивать сетевую адресацию будет накладно»

avahi пока пользоваться не доводилось, поэтому выкладываю как есть.

Запуск скрипта установки:

# /usr/local/samba/bin/samba-tool domain provision

Если название сервера было предварительно сконфигурировано, можно соглашаться, нажимая enter

Realm [TEST.LOC]: TEST.LOC
Domain [TEST]: TEST
Server Role [dc]: dc
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: SAMBA_INTERNAL
DNS forwarder IP address (write 'none' to disable forwarding) [8.8.8.8]: 8.8.8.8
При начальной установке SAMBA_INTERNAL не умеет обрабатывать (resolve) внешние адреса (например, адреса интернет). Для этого стоит использовать внешний DNS forwarder IP address.
Administrator Password:

Требуется использовать стойкий пароль, включающий минимальную длину и «сложность».

После этого создается AD и устанавливается схема по умолчанию windows 2003R2.

До запуска samba я бы рекомендовал добавить следующую строку в /usr/local/samba/etc/smb.conf:

Allow dns updates = True | signed

Это необходимо для того, чтобы компьютеры, включаемые в домен сразу же регистрировались в DNS.

true – неподписанное обновление
signed – только подписанное обновление
false – без обновления

Можно так же создать тестовую общую папку share и прописать ее в конфигурационный файл /usr/local/samba/etc/smb.conf.
В моем случае это выглядит так:

# Global parameters
[global]
workgroup = TEST
realm = TEST.LOC
netbios name = PDC
server role = active directory domain controller
allow dns updates = True
dns forwarder = 8.8.8.8

[netlogon]
path = /usr/local/samba/var/locks/sysvol/test.loc/scripts
read only = No

[sysvol]
path = /usr/local/samba/var/locks/sysvol
read only = No

[share]
path = /share
comment = Share
read only = No

Если samba4 собрала свой Kerberos, а проверить это можно наличием файла /usr/local/samba/private/krb5.conf, то стандартный файл Kerberos, который обычно лежит в /etc лучше куда-нибудь переместить. А на его месте лучше создать ссылку:

# ln -s /usr/local/samba/private/krb5.conf /etc/

Примечание: Я сначала удалил стандартный /etc/krb5.conf как и предлагалось на официальном сайте, но при автообновлении пакетов моего дистрибутива стандартный файл был автоматически создан заново. Что привело к проблемам kinit/klist.

Сам же /usr/local/samba/private/krb5.conf должен выглядеть примерно так:

[libdefaults]
default_realm = TEST.LOC
dns_lookup_realm = false
dns_lookup_kdc = true

Перед запуском samba 4 не забудьте остановить другую версию samba (если имеется и запущена), а так же named, если будете использовать samba 4 DNS.

Запускаем samba:

# /usr/local/samba/sbin/samba

для отладки я пользовался

# /usr/local/samba/sbin/samba -i --debuglevel=9

На сайте производителя так же рекомендовано использовать:
Для разработчиков

# /usr/local/samba/sbin/samba -i -M single

Для отладки (samba запускается, ограничиваясь единым процессом, все сообщения журнала печатаются в стандартный вывод)

# gdb --args /usr/local/samba/sbin/samba -i -M single

Здесь можно взять загрузочные скрипты (initscripts) для различных ситем

При старте samba у меня открываются следующие порты tcp:

# nmap -sS 127.0.0.1

PORT     STATE SERVICE
53/tcp   open  domain
88/tcp   open  kerberos-sec
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
389/tcp  open  ldap
445/tcp  open  microsoft-ds
464/tcp  open  kpasswd5
636/tcp  open  ldapssl
1024/tcp open  kdm
3268/tcp open  globalcatLDAP
3269/tcp open  globalcatLDAPssl

При старте samba у меня открываются следующие порты udp:

# nmap -sU 127.0.0.1

PORT     STATE         SERVICE
53/udp   open          domain
88/udp   open|filtered kerberos-sec
137/udp  open          netbios-ns
138/udp  open|filtered netbios-dgm
389/udp  open|filtered ldap
464/udp  open|filtered kpasswd5
631/udp  open|filtered ipp (cups)

Если все нормально, то стоит пройти ряд тестов, что убедиться, что все у нас в порядке с sambaclient, dns, Kerberos.

sambaclient

Запускаем:

$ /usr/local/samba/bin/smbclient -L localhost -U%

Получаем:

Sharename       Type      Comment
---------       ----      -------
IPC$            IPC       IPC Service (Samba 4.0.3)
share           Disk      Share
sysvol          Disk
netlogon        Disk

Если проблемы, делаем следующее:

# killall samba
# rm -v -- /usr/local/samba/var/run/smbd-fileserver.conf.pid
# /usr/local/samba/sbin/samba

Проверяем аутентификацию в домене. Запускаем:

$ smbclient //localhost/netlogon -UAdministrator%'p4$$word' -c 'ls'

Получаем:

Domain=[TEST] OS=[Unix] Server=[Samba 4.0.3]
.                                   D        0  Wed Sep 12 21:00:36 2012
..                                  D        0  Wed Sep 12 21:02:28 2012

dns

$ host -t SRV _ldap._tcp.test.loc.
_ldap._tcp.test.loc has SRV record 0 100 389 dc.test.loc.
$ host -t SRV _kerberos._udp.test.loc.
_kerberos._udp.test.loc has SRV record 0 100 88 pdc.test.loc.
$ host -t A pdc.test.loc.
pdc.test.loc has address 192.168.1.2

Примечание: Если вы выбрали DNS SAMBA_INTERNAL, то какая-либо дополнительная настройка, включая динамическое обновление не требуется. Настройку Bind описывать не буду, так как сам не пробовал. Почитать об этом можно в оригинальной статье.
Динамическое обновление DNS стартует каждые 10 минут и использует утилиту samba_dnsupdate. Чтобы динамическое обновление в принципе было возможным нужна утилита  nsupdate из комплекта Bind. Для проверки можно использовать:

# /usr/local/samba/sbin/samba_dnsupdate --verbose --all-names

Kerberos

В следующей команде название домена ОБЯЗАТЕЛЬНО В ВЕРХНЕМ РЕГИСТРЕ.

$ kinit administrator@TEST.LOC
Password:

$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: administrator@TEST.LOC

Valid starting     Expires            Service principal
02/10/10 19:39:48  02/11/10 19:39:46  krbtgt/TEST.LOC@TEST.LOC

В случае проблем проверяйте /etc/resolve.conf и /usr/local/samba/share/setup/krb5.conf с настройками, описанными выше.

Настройка NTP

dhcp-server сообщает компьютерам с динамическими адресами ip адрес локального сервера NTP. Если вы используете dhcpd, то нужно добавить следующую строку в dhcpd.conf


option    ntp-servers 192.168.1.2;


Примечание: Вообще расхождение времени более чем на 5 минут между клиентом и сервером было серьезной проблемой при авторизации samba 3.x в домене. Клиенты Kerberos не могли пройти проверку подлинности на сервере.
Эта синхронизация требовалась для предотвращения возможности использования атакующим старого аутентификатора, чтобы замаскироваться под легального пользователя.
На клиентах в домене samba 4 для теста я сбил время и дату на несколько суток, часов, минут назад. При этом мне удавалось не только авторизовываться, но и добавлять компьютеры в домен. А при 1-ом входе компьютера в домен часы синхронизировались.
Однако, расхождение во времени стало проблемой при добавлении windows контроллеров домена и репликацией между windows домен контроллерами и samba 4 dc.

Для корректной работы ntpd вам потребуется версия ntpd (=>4.2.6) поддерживающая signed ntp. Т.е. версия поставляемая с  RHEL6 и Ubuntu < 11.04 старая. Ntpd в Debian Squeeze поддерживает signed ntp.

Если у вас старая версия, то сервис ntpd будет запускаться корректно, при этом в логах (в моем случае в /var/log/messages) будет писать что-то вроде:

configure: keyword "mssntp" unknown, line ignored
configure: keyword "ntpsigndsocket" unknown, line ignored
configure: keyword "mssntp" unknown, line ignored

Синхронизация при этом происходить не будет.

Для того, чтобы заработала синхронизация времени добавляем в ntp.conf минимальный набор строк:

ntpsigndsocket /usr/local/samba/var/lib/ntp_signd/
restrict default mssntp

Можно добавить такой набор строк в ntp.conf:

server 127.127.1.0
fudge 127.127.1.0  stratum 12
ntpsigndsocket /usr/local/samba/var/lib/ntp_signd/
restrict default mssntp

Ну, а это расширенный набор ntp.conf:

server 127.127.1.0
fudge  127.127.1.0 stratum 10
server 0.pool.ntp.org  iburst prefer
server 1.pool.ntp.org  iburst prefer
driftfile /var/lib/ntp/ntp.drift
logfile /var/log/ntp
ntpsigndsocket /usr/local/samba/var/lib/ntp_signd/
restrict default kod nomodify notrap nopeer mssntp
restrict 127.0.0.1
restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap nopeer noquery
restrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap nopeer noquery

Дальше можно приступить к администрированию AD либо средствами samba, либо средствами windows. Об этом в следующей статье.

Ссылки на пакеты администрирования для windows:
adminpack sp2 xp/2003 x32 rus
adminpack sp2 xp/2003 x64 rus
rsat for win 7 sp1 x32/x64 rus
rsat for win 8 x32/x64 rus
rsat for win 8.1 x32/x64 rus
gpmc sp1 xp/2003 x32 eng (для xp/2003 x64 gpmc нет)

33 комментария

«DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: SAMBA_INTERNAL»
Кто же использует на сервере, Samba в качестве DNS сервера? Никто. Статья ламерская.

1. Как и написано в начале статьи в большей степени это перевод официального HOWTO.
2. Если кроме категоричной оценки у вас есть аргументы за/против, просьба поделиться ими.

Нормальную инструкцию по bind написать можно и нужно. Кроме bind есть еще большое количество вещей, о которых хотелось бы написать. Я планирую и дальше публиковать оригинальные статьи, в том числе ориентируясь на пожелания. Однако, мои возможности не безграничны, поэтому не могу обещать, что все пожелания будут исполнены. Кроме того, если у вас есть какое-то оригинальное (которое не было опубликовано где-либо другими авторами) решение или описание, которым вы хотели бы поделиться. Вы можете сделать это, опубликовав на данном ресурсе. Возможно, потребуется некоторая корректура (по согласованию с автором), чтобы статьи сочетались между собой по стилистике. В общем больше статей хороших и разных.

Спасибо многоуважаемому админу за интересный ресурс. Пользуясь вашими статьями поднял DC и интегрировал его в существующий локальный dns. Вот подробное описание, возможно пригодится для будущих статей. http://abask-it-notes.blogspot.com/2013/12/centos-6-samba4-dc-ddns-dhcp.html

Что-то не могу на форуме зарегистрироваться, поэтому напишу здесь
Очень интересует вопрос резервного копирования контроллера домена
LDAP, DNS и тд.

Не планируете осветить эту тему?

Попробую разобраться в праздники. Однако, обещать не буду. Запланировал разнообразные профилактические работы с серверами.

Здравствуйте, столкнулся с такой проблемой, при вводе Windows в домен на samba4 вылетает окно с вводом логина и пароля, ввожу Administrator и пароль, но в результате выдаёт ошибку что логин и пароль не подходят, пробую тоже самое но вместо Administrator пишу Administrator@domain.local и тот же самый пароль, и всё успешно проходит, выводит приветствие что успешно добавлен в домен и прочее. Хотелось бы вводить Windows машины в домен с логином Admionistrator, а не Administrator@domain.local есть ли у кого какие соображение по этому поводу, куда копать, что поднастроить?

содержимое smb.conf

# Global parameters
[global]
server role = domain controller
workgroup = domain
realm = domain.local
netbios name = DC01
passdb backend = samba4
server services = smb, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate, dns

[netlogon]
path = /var/lib/samba/sysvol/domain.local/scripts
read only = No

[sysvol]
path = /var/lib/samba/sysvol
read only = No

А если так?
server role = active directory domain controller
realm = DOMAIN.LOCAL

#passdb backend = samba4
#server services = smb, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate, dns

Спасибо за помощь, но проблема оказалась не в этом, нужно было синхронизировать время на сервере и клиенте, после этого всё заработало как надо, разница составляла 1 час, видать временную зону перепутал или не внимательно указал.

1. Насчет времени любопытно. По идее (замыслу) он вообще не должен был пускать в домен, пока разница во времени не составит менее 5 минут.
2. samba-tool domain passwordsettings, однако не уверен, что он позволит использовать пустой пароль. Мне трудно представить для чего это могло бы понадобиться.

В samba-tool установил пустой пароль —min-pwd-length=0, сложность пароля отключил —complexity=off. но создать юзера с пустым паролем через samba-tool user setpassword не получается, требуется ввести хотябы одни символ, тоесть возможности ввода пустого пароля нет. Пробовал на виндовс установить оснастку WindowsServer2003, зашёл в AD там создал пользователя с пустым паролем, и вродебы создался, но этим самым пользователем невозможно зайти в домен пишет что логин и пароль не подходит. Попробовал через виндовую оснастку зайти в групповые политики и там выполнил тоже самое что и в samba-tool. Но никаких положительных результатов.
На заводе 90% работников пенсионеры, они и так компьютер не умеют включать и выключать, а ввод пароле будет непосильной задачей, поэтому не подходит пароль в один символ, нужен беспарольный вход. Никакой важной информации нет, воровать нечего, а жизнь усложнять не надо.
Надеюсь кто-нибудь подскажет как сделать юзера без пароля, кучу форумов облазил, все молчат.

Никак не получается зарегистрироваться на форуме — после соглашения о правилах не загружается страница регистрации.
Помогите пожалуйста решить вопрос интеграции DNS Samba4 с DNS bind9.
Установлен сервер и настроены внешняя и внутренняя зоны DNS bind9, на второй хост установлен Zentyal 3.3 в качестве контроллера домена.
Как настроить синхронизацию внутренней зоны между серверами DNS.
Нигде не могу найти информации по настройке DNS Samba4.

samba-tool dns zonelist dc01
GENSEC backend ‘gssapi_spnego’ registered
GENSEC backend ‘gssapi_krb5’ registered
GENSEC backend ‘gssapi_krb5_sasl’ registered
GENSEC backend ‘schannel’ registered
GENSEC backend ‘spnego’ registered
GENSEC backend ‘ntlmssp’ registered
GENSEC backend ‘krb5’ registered
GENSEC backend ‘fake_gssapi_krb5’ registered
Using binding ncacn_ip_tcp:dc01[,sign]
2 zone(s) found

pszZoneName : intellect-technology.ru
Flags : DNS_RPC_ZONE_DSINTEGRATED DNS_RPC_ZONE_UPDATE_SECURE
ZoneType : DNS_ZONE_TYPE_PRIMARY
Version : 50
dwDpFlags : DNS_DP_AUTOCREATED DNS_DP_DOMAIN_DEFAULT DNS_DP_ENLISTED
pszDpFqdn : DomainDnsZones.intellect-technology.ru

pszZoneName : _msdcs.intellect-technology.ru
Flags : DNS_RPC_ZONE_DSINTEGRATED DNS_RPC_ZONE_UPDATE_SECURE
ZoneType : DNS_ZONE_TYPE_PRIMARY
Version : 50
dwDpFlags : DNS_DP_AUTOCREATED DNS_DP_FOREST_DEFAULT DNS_DP_ENLISTED
pszDpFqdn : ForestDnsZones.intellect-technology.ru

Ну как вариант на bind9 можно сделать:

zone "intellect-technology.ru" in{
type slave;
file "intellect-technology.ru";
masters { dc01 ip; };
};
zone "_msdcs.intellect-technology.ru" in{
type slave;
file "_msdcs.intellect-technology.ru";
masters { dc01 ip; };
};

Это если DNS samba4 будет мастером внутренней зоны.
А никак нельзя сделать мастером внутренней зоны DNS bind9, а DNS samba4 — slave?

На dc, перечисленные выше зоны д.б. master. Это нужно для корректной работы домена, а так же обновлении информации зон. В samba4 DNS можно добавить другие зоны, как slave. Я не пробовал, так как не было необходимости.
Я настраивал зоны либо через интерфейс windows, либо samba-tool dns.

Спасибо за советы!
Скажите, а samba4 создает обратые зоны, или их надо самому ручками создавать и корректировать?

Обратная зона автоматически не создается, так как не необходима для функционирования домена и далеко не всем нужна. Ее можно создать вручную, записи хостов (PTR) туда будут попадать автоматически, но можно их вносить и вручную при желании.

Доброе утро, гуру samba
Я новичок в samba, но я решился протестировать samba 4, и посмотреть что это за продукт.
Я установил samba 4 на linux debian и используя официальное HOWTO на Wiki поднял контроллер домена в режиме совместимости с Windows Server 2003R2. Я успешно завел в созданный домен клиентские станции на ОС XP, Windows 7.
У меня есть дисковая полка Thecus n8900 — в основе firmware linux с samba3. В целях того чтобы не испортить полку и не иметь проблем с обновлениями, я не хочу что-либо добавлять и перенастраивать в linux дисковой полки.
Полка поддерживает ADS/NT и может быть присоединена к домену Windows для того, чтобы работала авторизация пользователей из домена.
При вводе дисковой полки в домен я получаю ошибку — «Не верен указанный id Администратора или пароль». При этом id administrator и пароль — pass, абсолютно точно верны и существуют в домене samba 4.
Чтобы посмотреть, что происходит на контроллере с samba 4 я включил уровень логирования log level=4 в smb.conf, и увидел, что дисковая полка предпринимает попытки авторизоваться используя ntlmv2, на данной стадии возникает ошибка, поддерживает ли samba 4 ntlmv2 в режиме контроллера домена для меня вопрос ?

Вот ошибка из лога log.samba (SAN1 — имя полки)

[2014/05/21 22:22:48.080848, 3] ../libcli/auth/ntlm_check.c:587(ntlm_password_check)
ntlm_password_check: LM password, NT MD4 password in LM field and LMv2 failed for user SAN1$
[2014/05/21 22:22:48.080922, 2] ../source4/auth/ntlm/auth.c:420(auth_check_password_recv)
auth_check_password_recv: sam_ignoredomain authentication for user [BIZNES\SAN1$] FAILED with error NT_STATUS_WRO NG_PASSWORD

Я пробовал добавлять поддержку ntlmv2 в smb.conf samba 4, но samba 4 это не воспринимает:

client lanman auth = no
client ntlmv2 auth = yes

Вот конфиг samba4, smb.conf

# Global parameters
[global]
workgroup = BIZNES
realm = BIZNES.GR
netbios name = PDC
interfaces = 127.0.0.1 192.168.21.5
lanman auth = no
ntlm auth = no
client lanman auth = no
client ntlmv2 auth = yes
log file = /var/log/samba/log.samba
log level = 4
load printers = no
printing = bsd
printcap name = /dev/null
disable spoolss = yes
bind interfaces only = yes
server role = active directory domain controller
nsupdate command = /usr/bin/nsupdate -g
dns forwarder = 8.8.8.8
idmap_ldb:use rfc2307 = yes

[netlogon]
path = /var/lib/samba/sysvol/biznes.gr/scripts
read only = No

[sysvol]
path = /var/lib/samba/sysvol
read only = No

Вот testparm smb.conf, при котором samba 4 строчку client ntlmv2 auth = yes игнорирует

rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section «[netlogon]»
Processing section «[sysvol]»
Loaded services file OK.
Server role: ROLE_ACTIVE_DIRECTORY_DC
Press enter to see a dump of your service definitions

[global]
workgroup = BIZNES
realm = BIZNES.GR
interfaces = 127.0.0.1, 192.168.21.5
bind interfaces only = Yes
server role = active directory domain controller
passdb backend = samba_dsdb
ntlm auth = No
log file = /var/log/samba/log.samba
load printers = No
printcap name = /dev/null
disable spoolss = Yes
dns forwarder = 8.8.8.8
nsupdate command = /usr/bin/nsupdate -g
rpc_server:tcpip = no
rpc_daemon:spoolssd = embedded
rpc_server:spoolss = embedded
rpc_server:winreg = embedded
rpc_server:ntsvcs = embedded
rpc_server:eventlog = embedded
rpc_server:srvsvc = embedded
rpc_server:svcctl = embedded
rpc_server:default = external
idmap_ldb:use rfc2307 = yes
idmap config * : backend = tdb
printing = bsd
print command = lpr -r -P’%p’ %s
lpq command = lpq -P’%p’
lprm command = lprm -P’%p’ %j
map archive = No
map readonly = no
store dos attributes = Yes
vfs objects = dfs_samba4, acl_xattr

[netlogon]
path = /var/lib/samba/sysvol/biznes.gr/scripts
read only = No

[sysvol]
path = /var/lib/samba/sysvol
read only = No

Вот конфиг smb.conf с полки (не весь только global)

[global]
server string = %h
deadtime = 15
hide unreadable = yes
load printers = no
log file = /opt/samba/var/log/samba.%m
log level = 0
max log size = 50
encrypt passwords = yes
case sensitive = auto
passdb backend = tdbsam
socket options = TCP_NODELAY
use sendfile = yes
strict allocate = yes
local master = no
domain master = no
preferred master = no
dns proxy = no
dos charset = utf8
unix charset = utf8
display charset = utf8
allow trusted domains = yes
idmap uid = 20000-60000000
idmap gid = 20000-60000000
winbind separator = +
winbind nested groups = yes
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
create mask = 0644
map acl inherit = yes
nt acl support = yes
#map system = yes
bind interfaces only = yes
interfaces = lo,eth1,eth2,eth0
guest account = nobody
map to guest = Bad User
guest only = yes
workgroup = biznes.gr
security = user
auth methods = guest sam_ignoredomain
password server = *
realm = BIZNES.GR
idmap backend = rid
wins server =
client ntlmv2 auth = yes
unix extensions = no
printcap name = /dev/null
server signing = disabled
client ldap sasl wrapping = plain
oplocks = yes
veto oplock files = /J0*.WMF/*_.GIF/J0*.JPG/*_.WMF/
block size = 4096
allocation roundup size = 1048576
veto files = /folder.db/.AppleDouble/.AppleDB/.bin/.AppleDesktop/Network Trash Folder/:2eDS_Store/.DS_Store/
nt acl support = yes

прошу помощи, на текущий момент в голове каша, и вопросы:

Может ли полка с samba 3 интегрирована в домен на samba 4, samba 4 использует kerberos, samba 3 пытается авторизоваться используя ntlm2

Буду рад любой помощи, в том числе и советом где , что можно почитать по данным вопросам ?

разобрался сам, как оказалось прежде чем вводить дисковую полку в домен, нужно создать учетную запись компьютера с именем полки и указать что данный компьютер имеет статус пред-Windows 2000, для использования ntlm2 я так полагаю, я использовал RSAT.

Добавить комментарий