Valentina
Участник
- Регистрация
- 09.07.24
- Сообщения
- 17
- Реакции
- 0
Добрый день
Созданы доверительные отношения
Astra Linux 1.7.5 + ALD PRO 2.3.0
с контроллером домена на Windows 2022 (режим работы домена Windows Server 2016)
После установки доверительных отношений, dcdiag на контроллере ms дает такую ошибку:
Возникла ошибка. Код события (EventID): 0x00000C8A
Время создания: 07/09/2024 12:36:35
Строка события:
Произошла ошибка при проверке имени этого компьютера на контроллере \\aldproz1.z1.ru, являющимся контроллером домена Windows для домена Z1, и в результате этот компьютер может отвергать попытки входа в систему. Неспособность проверить имя может быть вызвана наличием в этой сети другого компьютера с таким же именем или тем, что не опознан пароль для этой учетной записи компьютера. Если это сообщение повторяется, обратитесь к сетевому администратору.
При попытке входа пользователя из домена aldpro на раб.станцию Windows в домене MS получена ошибка:
Имя или идентификатор безопасности (SID) указанного домена несовместимы со сведениями, полученными о домене через отношения доверенности.
Попытка входа доменным пользователем из домена MS на Astra Linux в домене AldPro так же не удачна.
Подскажите как решить возникшую проблему.
Созданы доверительные отношения
Astra Linux 1.7.5 + ALD PRO 2.3.0
с контроллером домена на Windows 2022 (режим работы домена Windows Server 2016)
После установки доверительных отношений, dcdiag на контроллере ms дает такую ошибку:
Возникла ошибка. Код события (EventID): 0x00000C8A
Время создания: 07/09/2024 12:36:35
Строка события:
Произошла ошибка при проверке имени этого компьютера на контроллере \\aldproz1.z1.ru, являющимся контроллером домена Windows для домена Z1, и в результате этот компьютер может отвергать попытки входа в систему. Неспособность проверить имя может быть вызвана наличием в этой сети другого компьютера с таким же именем или тем, что не опознан пароль для этой учетной записи компьютера. Если это сообщение повторяется, обратитесь к сетевому администратору.
При попытке входа пользователя из домена aldpro на раб.станцию Windows в домене MS получена ошибка:
Имя или идентификатор безопасности (SID) указанного домена несовместимы со сведениями, полученными о домене через отношения доверенности.
Попытка входа доменным пользователем из домена MS на Astra Linux в домене AldPro так же не удачна.
Подскажите как решить возникшую проблему.
В NETWORKmanager
Вкладка "Параметры IPv4" метод: вручную, адрес 172.18.105.175 маска 22 шлюз 172.16.104.1
dns 127.0.0.1 поисковый домен z1.ru
Вкладка "Параметры IPv6" метод: игнорировать
/etc/resolv.conf
search z1.ru
nameserver 127.0.0.1
sudo hostnamectl set-hostname aldproz1.z1.ru
/etc/hosts
127.0.0.1 localhost localhost.localdomain
#127.0.1.1 aldproz1 - локальная петля
172.18.105.175 aldproz1.z1.ru aldproz1
51.250.6.116 dl.astralinux.ru
51.250.6.116 download.astralinux.ru
84.201.172.233 astralinux.ru
/etc/network/interfaces
source /etc/network/interfaces.d/*
auto eth0
iface eth0 inet static
address 172.18.105.175
netmask 255.255.252.0
gateway 172.18.104.1
dns-nameservers 127.0.0.1
dns-search z1.ru
# The loopback network interface
auto lo
iface lo inet loopback
очистить старое значение eth0:
sudo ip addr flush dev eth0
перезапустить службу networking:
sudo systemctl restart networking
создать /etc/apt/apt.conf
sudo nano /etc/apt/apt.conf
Acquire::https:roxy "http://корп.домен\Nameass@прокси:порт";
Acquire::http:roxy "http://корп.домен\Nameass@прокси:порт";
Acquire::ftp:roxy "ftp://корп.домен\Nameass@прокси:порт";
Acquire:roxy "http://корп.домен\Nameass@прокси:порт";
Acquire:::roxy "true";
Примечание: https прокси обращается к http, а не https
----------------
Выставлено ОЗУ 8 гб, 4 ядра
----------------
sudo -i
sudo systemctl stop NetworkManager
sudo systemctl disable NetworkManager
sudo systemctl mask NetworkManager
sudo systemctl status NetworkManager
Проверка доступности:
ping -c 2 dl.astralinux.ru
ping -c 2 ya.ru
ping -c 2 google.com
ping -c 2 aldproz1.z1.ru
ping -c 2 aldproz1
ping -c 2 localhost
/etc/apt/sources.list
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.5/repository-main 1.7_x86-64 main non-free contrib
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.5/repository-update 1.7_x86-64 main contrib non-free
Создать список репозиториев /etc/apt/sources.list.d/aldpro.list
sudo nano /etc/apt/sources.list.d/aldpro.list
содержимое:
deb https://dl.astralinux.ru/aldpro/frozen/01/2.3.0 1.7_x86-64 main base
sudo astra-modeswitch get
sudo astra-modeswitch set 2
Убедиться что:
/etc/apt/preferences.d/smolensk
Результат:
Package: *
Pin: release n=1.7_x86-64
Pin-Priority: 900
sudo apt update
sudo apt list --upgradable
sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-mp aldpro-gc
aldpro-gc - это модуль глобального каталога - он нужен для создания доверительных отношений с лесом ms windows
перепроверка:
sudo nano /etc/resolv.conf
nameserver 127.0.0.1
search z1.ru
перезапуск сетки
sudo systemctl restart networking
перепроверка доступности:
ping -c 2 dl.astralinux.ru
ping -c 2 ya.ru
ping -c 2 google.com
ping -c 2 aldproz1.z1.ru
ping -c 2 aldproz1
ping -c 2 localhost
повышение роли до контроллера домена
sudo aldpro-server-install -d z1.ru -n aldproz1 -p '1qazXSW@' --ip 172.18.105.175 --no-reboot --setup_gc
перепроверить
/etc/resolv.conf
# auto-generated by IPA installer
search z1.ru
nameserver 127.0.0.1
потупить сколько то минут
перезагрузить сервер:
sudo reboot
Ждать(ждать после появления окошка для аутентификации с выбором домена и ничего не вводить...)
Вход: домен z1.ru пользователь: admin пароль: 1qazXSW@
Если выбора домена нет, то нажать Alt+U
sudo aldproctl status
sudo ipactl status
(всё запущено и работает)
klist
sudo kinit admin
Вход по керберос - удачен.
Изменены настройки bind:
sudo nano /etc/bind/ipa-options-ext.conf
allow-recursion { any; };
allow-query-cache { any; };
dnssec-validation no;
перезапустить DNS-службу на контроллере домена:
sudo systemctl restart bind9-pkcs11.service
проверка:
sudo ipa dnsconfig-show
Создание нескольких пользователей на https://aldproz1.z1.ru успешно.
Т.к при вводе в домен рабочей станции была ошибка на стороне клиента:
[ERROR ] DNS lookup or connection check of 'salt' failed.
[ERROR ] Master hostname: 'salt' not found or not responsive. Retrying in 30 seconds
то на сервере были внесены еще такие изменения:
1.
sudo nano /etc/salt/minion добавить строку:
master: aldproz1.z1.ru
sudo nano /etc/salt/master
interface: 172.18.105.175
sudo nano /etc/sysctl.d/disable-ipv6.conf скопипастить:
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.eth0.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
2.
systemctl disable systemd-resolved
Вкладка "Параметры IPv4" метод: вручную, адрес 172.18.105.175 маска 22 шлюз 172.16.104.1
dns 127.0.0.1 поисковый домен z1.ru
Вкладка "Параметры IPv6" метод: игнорировать
/etc/resolv.conf
search z1.ru
nameserver 127.0.0.1
sudo hostnamectl set-hostname aldproz1.z1.ru
/etc/hosts
127.0.0.1 localhost localhost.localdomain
#127.0.1.1 aldproz1 - локальная петля
172.18.105.175 aldproz1.z1.ru aldproz1
51.250.6.116 dl.astralinux.ru
51.250.6.116 download.astralinux.ru
84.201.172.233 astralinux.ru
/etc/network/interfaces
source /etc/network/interfaces.d/*
auto eth0
iface eth0 inet static
address 172.18.105.175
netmask 255.255.252.0
gateway 172.18.104.1
dns-nameservers 127.0.0.1
dns-search z1.ru
# The loopback network interface
auto lo
iface lo inet loopback
очистить старое значение eth0:
sudo ip addr flush dev eth0
перезапустить службу networking:
sudo systemctl restart networking
создать /etc/apt/apt.conf
sudo nano /etc/apt/apt.conf
Acquire::https:roxy "http://корп.домен\Nameass@прокси:порт";
Acquire::http:roxy "http://корп.домен\Nameass@прокси:порт";
Acquire::ftp:roxy "ftp://корп.домен\Nameass@прокси:порт";
Acquire:roxy "http://корп.домен\Nameass@прокси:порт";
Acquire:::roxy "true";
Примечание: https прокси обращается к http, а не https
----------------
Выставлено ОЗУ 8 гб, 4 ядра
----------------
sudo -i
sudo systemctl stop NetworkManager
sudo systemctl disable NetworkManager
sudo systemctl mask NetworkManager
sudo systemctl status NetworkManager
Проверка доступности:
ping -c 2 dl.astralinux.ru
ping -c 2 ya.ru
ping -c 2 google.com
ping -c 2 aldproz1.z1.ru
ping -c 2 aldproz1
ping -c 2 localhost
/etc/apt/sources.list
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.5/repository-main 1.7_x86-64 main non-free contrib
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.5/repository-update 1.7_x86-64 main contrib non-free
Создать список репозиториев /etc/apt/sources.list.d/aldpro.list
sudo nano /etc/apt/sources.list.d/aldpro.list
содержимое:
deb https://dl.astralinux.ru/aldpro/frozen/01/2.3.0 1.7_x86-64 main base
sudo astra-modeswitch get
sudo astra-modeswitch set 2
Убедиться что:
/etc/apt/preferences.d/smolensk
Результат:
Package: *
Pin: release n=1.7_x86-64
Pin-Priority: 900
sudo apt update
sudo apt list --upgradable
sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-mp aldpro-gc
aldpro-gc - это модуль глобального каталога - он нужен для создания доверительных отношений с лесом ms windows
перепроверка:
sudo nano /etc/resolv.conf
nameserver 127.0.0.1
search z1.ru
перезапуск сетки
sudo systemctl restart networking
перепроверка доступности:
ping -c 2 dl.astralinux.ru
ping -c 2 ya.ru
ping -c 2 google.com
ping -c 2 aldproz1.z1.ru
ping -c 2 aldproz1
ping -c 2 localhost
повышение роли до контроллера домена
sudo aldpro-server-install -d z1.ru -n aldproz1 -p '1qazXSW@' --ip 172.18.105.175 --no-reboot --setup_gc
перепроверить
/etc/resolv.conf
# auto-generated by IPA installer
search z1.ru
nameserver 127.0.0.1
потупить сколько то минут
перезагрузить сервер:
sudo reboot
Ждать(ждать после появления окошка для аутентификации с выбором домена и ничего не вводить...)
Вход: домен z1.ru пользователь: admin пароль: 1qazXSW@
Если выбора домена нет, то нажать Alt+U
sudo aldproctl status
sudo ipactl status
(всё запущено и работает)
klist
sudo kinit admin
Вход по керберос - удачен.
Изменены настройки bind:
sudo nano /etc/bind/ipa-options-ext.conf
allow-recursion { any; };
allow-query-cache { any; };
dnssec-validation no;
перезапустить DNS-службу на контроллере домена:
sudo systemctl restart bind9-pkcs11.service
проверка:
sudo ipa dnsconfig-show
Создание нескольких пользователей на https://aldproz1.z1.ru успешно.
Т.к при вводе в домен рабочей станции была ошибка на стороне клиента:
[ERROR ] DNS lookup or connection check of 'salt' failed.
[ERROR ] Master hostname: 'salt' not found or not responsive. Retrying in 30 seconds
то на сервере были внесены еще такие изменения:
1.
sudo nano /etc/salt/minion добавить строку:
master: aldproz1.z1.ru
sudo nano /etc/salt/master
interface: 172.18.105.175
sudo nano /etc/sysctl.d/disable-ipv6.conf скопипастить:
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.eth0.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
2.
systemctl disable systemd-resolved
Указать в NetworkManager DNS-сервер и суфикс z1.ru
Задать пароль root:
sudo passwd root
пароль: 1qazXSW@
sudo hostnamectl set-hostname client1
(без z1.ru)
в /etc/hosts добавить
172.18.105.175 aldproz1.z1.ru aldproz1
sudo nano /etc/apt/sources.list
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.5/repository-main 1.7_x86-64 main contrib non-free
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.5/repository-update 1.7_x86-64 main contrib non-free
sudo nano /etc/apt/sources.list.d/aldpro.list
deb https://download.astralinux.ru/aldpro/frozen/01/2.3.0 1.7_x86-64 main base
sudo nano /etc/apt/apt.conf
Acquire::https:roxy "http://корп.домен\Nameass@прокси:порт";
Acquire::http:roxy "http://корп.домен\Nameass@прокси:порт";
Acquire::ftp:roxy "ftp://корп.домен\Nameass@прокси:порт";
Acquire:roxy "http://корп.домен\Nameass@прокси:порт";
Acquire:::roxy "true";
Примечание: https прокси обращается к http, а не https
ip a
ping -c 4 77.88.8.8
ping -c 4 dl.astralinux.ru
ping -c 4 aldproz1.z1.ru
ping -c 4 aldproz1
sudo apt update
sudo apt list --upgradable
sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
(на этом этапе еще можно перегрузиться)
в /etc/hosts раскоментировать петлю 127.0.1.1 и добавить явно ip хоста клиента
sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client
в /etc/hosts закоментировать петлю и удалить ip хоста клиента
Проверка:
nslookup client1
+пинги к домену и на самого себя
Примечание: если перегрузить машину на данном этапе то следующая команда завершится ошибкой. И в целом возникнет проблема с резолвом DNS имен
sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer --domain z1.ru --account admin --password '1qazXSW@' --host client1 --gui --force
перегрузить машину
ping -c 2 client1
Вход доменным пользователем успешен
Задать пароль root:
sudo passwd root
пароль: 1qazXSW@
sudo hostnamectl set-hostname client1
(без z1.ru)
в /etc/hosts добавить
172.18.105.175 aldproz1.z1.ru aldproz1
sudo nano /etc/apt/sources.list
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.5/repository-main 1.7_x86-64 main contrib non-free
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.5/repository-update 1.7_x86-64 main contrib non-free
sudo nano /etc/apt/sources.list.d/aldpro.list
deb https://download.astralinux.ru/aldpro/frozen/01/2.3.0 1.7_x86-64 main base
sudo nano /etc/apt/apt.conf
Acquire::https:roxy "http://корп.домен\Nameass@прокси:порт";
Acquire::http:roxy "http://корп.домен\Nameass@прокси:порт";
Acquire::ftp:roxy "ftp://корп.домен\Nameass@прокси:порт";
Acquire:roxy "http://корп.домен\Nameass@прокси:порт";
Acquire:::roxy "true";
Примечание: https прокси обращается к http, а не https
ip a
ping -c 4 77.88.8.8
ping -c 4 dl.astralinux.ru
ping -c 4 aldproz1.z1.ru
ping -c 4 aldproz1
sudo apt update
sudo apt list --upgradable
sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
(на этом этапе еще можно перегрузиться)
в /etc/hosts раскоментировать петлю 127.0.1.1 и добавить явно ip хоста клиента
sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client
в /etc/hosts закоментировать петлю и удалить ip хоста клиента
Проверка:
nslookup client1
+пинги к домену и на самого себя
Примечание: если перегрузить машину на данном этапе то следующая команда завершится ошибкой. И в целом возникнет проблема с резолвом DNS имен
sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer --domain z1.ru --account admin --password '1qazXSW@' --host client1 --gui --force
перегрузить машину
ping -c 2 client1
Вход доменным пользователем успешен
Windows 2022 ru - поднять роли AD и DNS-сервера.
Отключен брандмауэр
Установлены обновления
Создан доменный администратор
Ему задана основная группа: "Администраторы домена"
Отключен брандмауэр
Установлены обновления
Создан доменный администратор
Ему задана основная группа: "Администраторы домена"
Создание доверительных отношений происходит в два действия:
1. В DNS-сервере домена ms добавляется зона пересылки = IP контроллеру домена Ald Pro
2. На контроллере домена Ald Pro с веб странички https://aldproz1.z1.ru "Управление доменом" - "Интеграция с MS AD" нажать "Новое подключение к Active Directory"
Ввести данные домена ms:
В моём случае это: Домен z2.ru
Установлен check-box "Перенаправление зоны DNS" указан IP адрес DNS сервера = IP контроллера домена MS
Установлен check-box "Доверительные отношения"
Установлен check-box "Двухсторонние доверительные отношения"
Пользователь Администратор домена ms для которого указана основная группа: "Администраторы домены"
И пароли
После "Сохранить" возвращается сообщение о успехе создания доверительных отношений
В " Служба разрешения имен" появляется зона домена MS (z2.ru)
На контроллере домена MS в "Домены и доверие" - Свойства - вкладка "Отношения доверия" есть двухстороннее доверие к домену ALD PRO (z1.ru)
1. В DNS-сервере домена ms добавляется зона пересылки = IP контроллеру домена Ald Pro
2. На контроллере домена Ald Pro с веб странички https://aldproz1.z1.ru "Управление доменом" - "Интеграция с MS AD" нажать "Новое подключение к Active Directory"
Ввести данные домена ms:
В моём случае это: Домен z2.ru
Установлен check-box "Перенаправление зоны DNS" указан IP адрес DNS сервера = IP контроллера домена MS
Установлен check-box "Доверительные отношения"
Установлен check-box "Двухсторонние доверительные отношения"
Пользователь Администратор домена ms для которого указана основная группа: "Администраторы домены"
И пароли
После "Сохранить" возвращается сообщение о успехе создания доверительных отношений
В " Служба разрешения имен" появляется зона домена MS (z2.ru)
На контроллере домена MS в "Домены и доверие" - Свойства - вкладка "Отношения доверия" есть двухстороннее доверие к домену ALD PRO (z1.ru)