Samba AD DC через VPN. Не подключиться из RSAT, не работает drs replication

Автор zv0r, 05 мая 2019, 00:41:47

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

zv0r

Господа, приветствую.
Схожу с ума уже, не могу понять, что за чертовщина.
Существует организация, где филиалы соединены по VPN.
Имеется свежеустановленный Stretch с установленной по официальной wiki samba 4.10.2 + BIND9_DLZ. В настоящее время имеется 2 DC в первом филиале и 1 DC во втором.
DC, территориально находящиеся в одном здании, прекрасно синхронизируются, все работает. На удаленном же DC, если запустить samba-tool drs showrepl -d 3, в процессе выдается:

Server ldap/B01DC01.CORP.COMPANY.RU@CORP.COMPANY.RU is not registered with our KDC:  Miscellaneous failure (see text): Server (ldap/B01DC01.CORP.COMPANY.RU@CORP.COMPANY.RU) unknown
gensec_spnego_create_negTokenInit_step: gssapi_krb5: creating NEG_TOKEN_INIT for ldap/B01DC01.CORP.COMPANY.RU failed (next[ntlmssp]): NT_STATUS_INVALID_PARAMETER

Если попробовать ldbsearch -H ldap://b00dc01 servicePrincipalName=ldap/B01DC01.corp.company.ru -UAdministrator, то в результате ни фига не найдется, что очень странно и грустно.
smb.conf везде идентичный, с крохотными правками после разворачивания самбы. krb5.conf тоже без самодеятельности, - тот, который предлагается в wiki.

[global]
        hosts allow = ALL
        server min protocol = NT1
        lanman auth = Yes
        ntlm auth = Yes
        netbios name = B00DC01
        realm = CORP.COMPANY.RU
        server role = active directory domain controller
        server services = -dns
        workgroup = CORP
        idmap_ldb:use rfc2307 = yes

[sysvol]
        path = /usr/local/samba/var/locks/sysvol
        read only = No

[netlogon]
        path = /usr/local/samba/var/locks/sysvol/corp.company.ru/scripts
        read only = No


[libdefaults]
    dns_lookup_realm = false
    dns_lookup_kdc = true
    default_realm = CORP.COMPANY.RU


Вообще, подозреваю, что проблема как раз в настройке kerberos, но не понимаю какая. Помогите, пожалуйста, кто чем может :)