Господа, приветствую.
Схожу с ума уже, не могу понять, что за чертовщина.
Существует организация, где филиалы соединены по VPN.
Имеется свежеустановленный Stretch с установленной по официальной wiki samba 4.10.2 + BIND9_DLZ. В настоящее время имеется 2 DC в первом филиале и 1 DC во втором.
DC, территориально находящиеся в одном здании, прекрасно синхронизируются, все работает. На удаленном же DC, если запустить samba-tool drs showrepl -d 3, в процессе выдается:
Server ldap/B01DC01.CORP.COMPANY.RU@CORP.COMPANY.RU is not registered with our KDC: Miscellaneous failure (see text): Server (ldap/B01DC01.CORP.COMPANY.RU@CORP.COMPANY.RU) unknown
gensec_spnego_create_negTokenInit_step: gssapi_krb5: creating NEG_TOKEN_INIT for ldap/B01DC01.CORP.COMPANY.RU failed (next[ntlmssp]): NT_STATUS_INVALID_PARAMETER
Если попробовать ldbsearch -H ldap://b00dc01 servicePrincipalName=ldap/B01DC01.corp.company.ru -UAdministrator, то в результате ни фига не найдется, что очень странно и грустно.
smb.conf везде идентичный, с крохотными правками после разворачивания самбы. krb5.conf тоже без самодеятельности, - тот, который предлагается в wiki.
[global]
hosts allow = ALL
server min protocol = NT1
lanman auth = Yes
ntlm auth = Yes
netbios name = B00DC01
realm = CORP.COMPANY.RU
server role = active directory domain controller
server services = -dns
workgroup = CORP
idmap_ldb:use rfc2307 = yes
[sysvol]
path = /usr/local/samba/var/locks/sysvol
read only = No
[netlogon]
path = /usr/local/samba/var/locks/sysvol/corp.company.ru/scripts
read only = No
[libdefaults]
dns_lookup_realm = false
dns_lookup_kdc = true
default_realm = CORP.COMPANY.RU
Вообще, подозреваю, что проблема как раз в настройке kerberos, но не понимаю какая. Помогите, пожалуйста, кто чем может :)