Tâche #20355
Scénario #21473: Corrections sur le module SETH
erreur samba_dnsupdate sur le DC principal dns_tkey_negotiategss: TKEY is unacceptable
0%
Description
Le problème a déjà été découvert dans le cadre de cette demande #17612.
Mais il a des conséquences importantes : le processus samba_dnsupdate ne s'éxécutant pas, les enregistrements DNS SRV ne sont pas mis à jour sur les DC, et par conséquent pour tout le domaine.
Le test a été fait avec deux DC pour un même domaine AD, avec 4 sites. Deux sites ayant un DC rattaché. L'update DNS doit aboutir à la création d’enregistrement DNS SRV pour chacun des Sites ayant un DC. Or cela n'a pas fonctionné du fait de cette erreur.
Cette erreur n'a été constaté que sur le DC principal, mais elle pose un pb pour tout le domaine. Car la commande équivalente lancée sur le DC secondaire ne met pas à jour les enregistrements DNS du site auquel est rattaché le DC primaire.
L’erreur a été résolue sur le DC principale en modifiant le fichier resolvconf : il a suffit de mettre en commentaire les DNS autres que les DNS Samba .
Question : est- il logique de faire référence à tous ces serveurs DNS ? ne faudrait il pas se contenter de la ligne qui correspond au serveur AD lui-même ?
NB : en fait il y a beaucoup de littérature sur le pb dns_tkey_negotiategss: TKEY is unacceptable, mais dans le où samba s'appuie sur Bind en Backend.
Peut être dans notre cas, le process samba_dnsupdate pense dialoguer avec un Bind (c'est le cas pour nos forwarder nationaux décrits dans le resolv.conf), ce qui provoquerait cette erreur ?
Historique
#1 Mis à jour par Emmanuel IHRY il y a presque 7 ans
- Projet changé de Distribution EOLE à EOLE AD DC
- Description mis à jour (diff)
#2 Mis à jour par Emmanuel IHRY il y a presque 7 ans
- Description mis à jour (diff)
Pour aller plus loin, et au vu des doc d'installation samba AD, je me demande si on ne devrait pas changer la configuration du SETH en faisant en sorte que le resolv.conf ne contienne que :
search mondomaine.lan
nameserver 127.0.0.1
Et que les forwarder saisis dans l'écran général gen_config alimentent uniquement le fichier smb.conf pour la variable dns forwarder =
https://dev.tranquil.it/wiki/SAMBA_-_Installation_d%27un_AD_Samba_pour_un_nouveau_domaine.
Il faudrait dans ce cas là sans doute aussi envisager de modifier le processus d'instance du DC secondaire en ajoutant l'option --server=SERVER (DC to join) à la commande samba-tool domain join, dans la mesure où si l'on configure le SETH de cette manière, ce sera sans doute la seule manière pour le secondaire de trouver le principal. (voir aussi #20331)
#3 Mis à jour par Emmanuel IHRY il y a presque 7 ans
- Tâche parente changé de #20131 à #20361
#4 Mis à jour par Emmanuel IHRY il y a presque 7 ans
- Temps estimé mis à 4.00 h
- Restant à faire (heures) mis à 4.0
#5 Mis à jour par Emmanuel IHRY il y a presque 7 ans
- Tâche parente changé de #20361 à #20584
#6 Mis à jour par Emmanuel IHRY il y a presque 7 ans
- Tâche parente changé de #20584 à #20583
#7 Mis à jour par Emmanuel IHRY il y a presque 7 ans
- Sujet changé de erreur samba_dnsupdate sur le DC principal dns_tkey_negotiategss: TKEY is unacceptable à erreur samba_dnsupdate sur le DC principal dns_tkey_negotiategss: TKEY is unacceptable
- Description mis à jour (diff)
- Assigné à mis à Emmanuel IHRY
#8 Mis à jour par Emmanuel IHRY il y a presque 7 ans
- Tâche parente changé de #20583 à #20896
#9 Mis à jour par Emmanuel IHRY il y a presque 7 ans
- Temps estimé changé de 4.00 h à 2.00 h
- Restant à faire (heures) changé de 4.0 à 2.0
pb en observation
#10 Mis à jour par Emmanuel IHRY il y a presque 7 ans
- Tâche parente changé de #20896 à #20916
#11 Mis à jour par Emmanuel IHRY il y a plus de 6 ans
- Tâche parente changé de #20916 à #21104
#12 Mis à jour par Emmanuel IHRY il y a plus de 6 ans
- Tâche parente changé de #21104 à #21183
Problème en observation. à suivre dans le cadre des sites pilotes
#13 Mis à jour par Michel BALLY il y a plus de 6 ans
Même phénomène lors de la mise en place du 1er DC local d'un site pilote
La création des sites a été faite en préalable mais dans le DNS, les sites ne sont pas à jour et du coup ce DC local ne peut s'enregistrer
La commande samba_dnsupdate a planté pour remettre à jour le DNS et tout est rentré dans l'ordre en ne gardant que son IP dans resolv.conf
#14 Mis à jour par Emmanuel IHRY il y a plus de 6 ans
- Assigné à changé de Emmanuel IHRY à Benjamin Bohard
#15 Mis à jour par Emmanuel IHRY il y a plus de 6 ans
- Tâche parente changé de #21183 à #20777
#16 Mis à jour par Emmanuel IHRY il y a plus de 6 ans
Sur la version 4.6, l'erreur que nous avons rencontré sur les DC additionnel s'explique par un bug samba qui sera résolu en 4.7
En version 4.6, sur un DC additionnel, si la commande "samba_dnsupdate --verbose" provoque des erreurs "dns_tkey_negotiategss: TKEY is unacceptable", cela signifie que le serveur ne parvient pas à créer localement les enregistrements DNS requis.
Il faut alors utiliser la commande suivante commande qui créera les enregistrements DNS sur le serveur primaire. Ces enregistrements deviendront ensuite disponibles sur les autres DC à la prochaine réplication.
samba_dnsupdate --use-samba-tool --rpc-server-ip=ip_DC_primaire
Pas testé si cette commande résout le pb de "dns_tkey_negotiategss: TKEY is unacceptable" sur un serveur primaire. Pour le moment on a toujours eu recours à la simplification du resolv.conf qui a débloqué le pb.
Et je reste convaincu qu'il faudrait simplifier le resolv.conf en identifiant que l'IP du serveur sur lequel on est...
#17 Mis à jour par Emmanuel IHRY il y a plus de 6 ans
- Tâche parente changé de #20777 à #21473
#18 Mis à jour par Emmanuel IHRY il y a plus de 6 ans
- Statut changé de Nouveau à Ne sera pas résolu
La commande samba_dnsupdate --use-samba-tool --rpc-server-ip=ip_DC_primaire résoud le pb sur un DC primaire.
On peut donc laisser tel quel pour le moment et réétudier le pb avec samba 4.7.