Distribution EOLE » Modules » EOLE AD DC

Rappel des épisodes précédents¶

https://dev-eole.ac-dijon.fr/issues/17612#note-6¶

Lorsqu'on modifie resolv.conf pour obtenir :

search domaine.lan
nameserver l_autre_dc
nameserver ce_dc

L'erreur "dns_tkey_negotiategss: TKEY is unacceptable" disparaît et est remplacée par l'erreur :

; TSIG error with server: tsig verify failure

que l'on peut ignorer car elle ne concerne que les utlisateurs du DNS BIND alors que nous utilisons le DNS interne de Samba4 :
https://lists.samba.org/archive/samba/2013-February/171881.html

https://dev-eole.ac-dijon.fr/issues/20355#note-2¶

Pour aller plus loin, et au vu des doc d'installation samba AD, je me demande si on ne devrait pas changer la configuration du SETH en faisant en sorte que le resolv.conf ne contienne que :

search mondomaine.lan
nameserver 127.0.0.1

Et que les forwarder saisis dans l'écran général gen_config alimentent uniquement le fichier smb.conf pour la variable dns forwarder =
https://dev.tranquil.it/wiki/SAMBA_-_Installation_d%27un_AD_Samba_pour_un_nouveau_domaine.

Il faudrait dans ce cas là sans doute aussi envisager de modifier le processus d'instance du DC secondaire en ajoutant l'option --server=SERVER (DC to join) à la commande samba-tool domain join, dans la mesure où si l'on configure le SETH de cette manière, ce sera sans doute la seule manière pour le secondaire de trouver le principal. (voir aussi #20331)

Peut être est-il préférable d'envisager ce changement en 2.6.3. Si nous avons des problèmes en prod, on patchera le resolv.conf pour ne garder que :

search mondomaine.lan
nameserver 127.0.0.1