TrueNAS не подключается к AD

[Pochemuk]

Решил попробовать TrueNAS CORE 12, т.к. FreeNAS 11 не поддерживает ACL для пользователей AD.

Но ситуация стала только хуже ... Если FreeNAS хотя бы подключался к AD после заполнения сведений о службе каталогов, то TrueNAS вообще к ней не подключается.

Может быть какие настройки на других вкладках надо сделать? Но в TrueNAS все делалось (кроме настройки времени и IPv4) на вкладке AD.

Все прописано, вроде бы, как и в FreeNAS. Время с PDC синхронизировано. Перед регистрацией NAS старые сведения с AD были вычищены.

Картинка во вложении.

 

[Pochemuk]

Хоть совсем не разбираюсь в Линуксах, но пару команд ввести в состоянии.

Show : Вот результат

root@FileServer01[~]# kinit
Администратор@TEPLO.KOLOMNA.RU's Password:
root@FileServer01[~]# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: Администратор@TEPLO.KOLOMNA.RU

Issued Expires Principal
Dec 18 11:36:48 2020 Dec 18 21:36:48 2020 krbtgt/TEPLO.KOLOMNA.RU@TEPLO.KOLOMN
A.RU
root@FileServer01[~]# net ads join -U Администратор
Enter Администратор's password:
Failet to join domain: failed to lookup DC info for domain 'TEPLO.KOLOMNA.RU' ov
er rpc: {Device Timeout} The specified I/O operation on %hs was not completed be
fore the time-out period expired.
root@FileServer01[~]#

Как я понял, NAS не может обнаружить контроллер домена. Но почему?

1. Не получает его имени от DNS?
Но DNS прописан в свойствах сети, а больше нигде и не надо, вроде как.

2. Получает его имя/адрес. но не может взаимодействовать с ним?
Может быть причина в том, что контроллерам домена уже почти 20 лет. И они работают под Win2K3. А с этой ОСью обмен при включении в домен идет по протоколу SMBv1, который единственный поддерживаемый.
Может быть поддержка SMBv1 на этапе вхождения в домен в новой версии TrueNAS CORE 12 была отключена? Но в FreeNAS 11 она работала, поэтому проблем с вхождением в домен не было.

 

[Mihalich]

Хоть совсем не разбираюсь в Линуксах, но пару команд ввести в состоянии.

FreeBSD )
SMBv1 по умолчанию отключено, галочку можно поставить в настройках службы SMB.
На скриншоте вверху "Доменное имя" имеется ввиду имя домена, а не доменное имя компа (на всякий случай уточняю).
Ещё попробуйте для трунаса отдельную учётку с правами администратора домена сделать и что бы логин пароль на латинском были.

 

[Pochemuk]

SMBv1 по умолчанию отключено, галочку можно поставить в настройках службы SMB.
На скриншоте вверху "Доменное имя" имеется ввиду имя домена, а не доменное имя компа (на всякий случай уточняю).
Ещё попробуйте для трунаса отдельную учётку с правами администратора домена сделать и что бы логин пароль на латинском были.

Галочку я ставил - не помогло.
Кстати, FreeNAS подключался к домену и со снятой в настройках SMB этой галкой. Она нужна только для того, чтобы пользователи WinXP могли подключаться к хранилищу. А пользователи Win8/10 и без нее шарились. И ввод NAS в домен проходил без проблем и при снятой галке.

"Доменное имя" - это и есть имя домена. Все верно. И в настройках FreeNAS было всё аналогично.

Юзера с правами админа завести попробую. Но, IMHO, это не поможет. Т.к., из лога видно, что до авторизации не доходит. Просто не может по каким-то причинам найти DC.

P.S. А разве FreeBSD, это не Линукс такой?
Я же говорю, что совсем в них не разбираюсь.

 

[Mihalich]

Ну тогда базовые вещи проверяйте: настройки сети
1) Пингоните по IP первый КД, второй КД (если есть), ДНС (nslookup)
2) Пингоните свой домен по имени
3) КД находится в одной сети с НАСом?
4) Для старых ОС может понадобится создать вручную учётную запись компьютера в АД.
5) NTLMv1 Auth в настройках SMB

 

[525Alex]

Проверить время на Freenas и контроллере домена и синхронизировать. У меня в этом проблема была.

 

[Mihalich]

Проверить время на Freenas и контроллере домена и синхронизировать. У меня в этом проблема была.

Время с PDC синхронизировано.

 

[525Alex]

Оно совпадает? Мне приходиться раз в месяц вручную синхронизировать.

 

[Mihalich]

Оно совпадает? Мне приходиться раз в месяц вручную синхронизировать.

Зачем? В системных настройках есть вкладка "NTP серверы", настраивается на раз два.

 

[525Alex]

Сделано!!! Но время все равно убегает. Из за этого происходит отключение от контроллера домена.

 

[chs]

Синхронизируй время с контроллером домена

 

[525Alex]

Ну что по кругу ходить и повторяться. Что то конкретное есть?

 

[chs]

Поискать религия не позволяет ?
https://www.truenas.com/community/threads/подскажите-по-настройке-ntp.74166/

 

[525Alex]

Да религия все позволяет. Она такая гибкая. Только я этот пост читал давно. По нему и делал. Итог: Синхронизации с контроллером автоматом не идет. Только через ручную синхронизацию. Сделал задачу которая раз в неделю проводит синхронизацию. Вот такой итог.

 

[Mihalich]

Итог: Синхронизации с контроллером автоматом не идет. Только через ручную синхронизацию. Сделал задачу которая раз в неделю проводит синхронизацию. Вот такой итог.

Возможно у вас NTP на DC не донастроено, у меня всё синхронится без проблем, а в качестве сервера вообще мой домен указан.
Можно ещё настроить синхронизацию DC и NASа на один внешний источник (не майкрософтовский).

 

[525Alex]

Ну может у меня руки кривые))) Все компы в домене и нет (порядка 100 шт.), нормально синхронизируются с контроллером времени, а Nas (1) глючит. FRBSD штука занятная, особенно в связке с Nas.

 

[chs]

Выполни -

Code:

# service ntpd stop
# ntpdate <IP контроллера домена>

Если ntpd сервис был запущен, запусти его обратно

Code:

# service ntpd start

Результат сюда.
Ну ещё и содержимое /etc/ntp.conf

 

[Mihalich]

И до кучи вывод "w32tm /query /configuration" с контроллера.
Дело в том, что дефолтных настроек достаточно чтобы виндовозные доменные компы обновляли время, но не достаточно для всех остальных. Точно не помню, я что-то в реестре докручивал.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time - вроде тут

 

[525Alex]

root@freenas1[~]# service ntpd stop
Stopping ntpd.
Waiting for PIDS: 1161, 1161.
root@freenas1[~]# ntpdate 192.168.2.6
13 Jan 18:08:28 ntpdate[33703]: step time server 192.168.2.6 offset +2.018558 sec
root@freenas1[~]# service ntpd start
Starting ntpd.
root@freenas1[~]#

/etc/ntp.conf

server kd1.domen.org burst maxpoll 5 minpoll 4
restrict default ignore
restrict -6 default ignore
restrict 127.0.0.1
restrict -6 ::1
restrict 127.127.1.0
restrict kd1.domen.org nomodify notrap nopeer noquery

 

[525Alex]

w32tm /query /configuration
(Настройки)

EventLogFlags: 2 (Локально)
AnnounceFlags: 10 (Локально)
TimeJumpAuditOffset: 28800 (Локально)
MinPollInterval: 6 (Локально)
MaxPollInterval: 10 (Локально)
MaxNegPhaseCorrection: 172800 (Локально)
MaxPosPhaseCorrection: 172800 (Локально)
MaxAllowedPhaseOffset: 300 (Локально)

FrequencyCorrectRate: 4 (Локально)
PollAdjustFactor: 5 (Локально)
LargePhaseOffset: 50000000 (Локально)
SpikeWatchPeriod: 900 (Локально)
LocalClockDispersion: 10 (Локально)
HoldPeriod: 5 (Локально)
PhaseCorrectRate: 7 (Локально)
UpdateInterval: 100 (Локально)


[TimeProviders]

NtpClient (Локально)
DllName: C:\Windows\system32\w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
CrossSiteSyncFlags: 2 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)
ResolvePeerBackoffMinutes: 15 (Локально)
ResolvePeerBackoffMaxTimes: 7 (Локально)
CompatibilityFlags: 2147483648 (Локально)
EventLogFlags: 1 (Локально)
LargeSampleSkew: 3 (Локально)
SpecialPollInterval: 3600 (Локально)
Type: NT5DS (Локально)

NtpServer (Локально)
DllName: C:\Windows\system32\w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 0 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)

VMICTimeProvider (Локально)
DllName: C:\Windows\System32\vmictimeprovider.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)