Bug 52909

Summary: Ошибка обновления DNS в journalctl на SambaDC
Product: Branch p10 Reporter: AVG <nikul-sasha>
Component: sambaAssignee: qa-team <qa-team>
Status: CLOSED WORKSFORME QA Contact: qa-p10 <qa-p10>
Severity: normal    
Priority: P5 CC: alimektor, max.gordeef, shevchenkodyu
Version: не указана   
Hardware: x86_64   
OS: Linux   

Description AVG 2025-02-02 19:27:40 MSK 
После создания домена (SambaAD) или присоединения к нему нового контроллера домена (Samba DC) в системном журнале появляется периодическая ошибка об обновлении DNS записи:
dnsupdate_nameupdate_done: Failed DNS update with exid code 26;
dnsupdate_nameupdate_done: Failed DNS update with exid code 110.

Ошибка заключается в том, что на КД у службы "samba" не хватает прав на обновление/создание своей DNS-записи. При заведении в домен второго КД это наглядно видно - его DNS-запись не создается.

Решается данная проблема добавлением в файле "/etc/samba/smb.conf" параметра в разделе [global]:
dns update command = /usr/sbin/samba_dnsupdate --use-samba-tool

Предлагаю включить данное исправление в самбу и устанавливать данный параметр по умолчанию при создании домена или при включении в уже существующий домен контроллера домена.
Для проверки использовалась samba версии 4.19.9-alt4
Comment 1 Evgeny Shesteperov 2025-02-04 12:38:58 MSK 
ALT Server 10.2 (обновлённый до P10)

Не воспроизвелась, настройку выполнял согласно документации https://docs.altlinux.org/ru-RU/alt-server/10.4/html/alt-server/sambadc--chapter.html

# samba-tool dns zoneinfo dc2 test.alt | grep pszZoneName
  pszZoneName                 : test.alt

Уточняйте настройку, если она специфична.
Comment 2 AVG 2025-02-04 12:45:16 MSK 
Тестировали без указания параметра 'use-rfc2307'? И без внесения DNS-записи вручную?
Comment 3 Evgeny Shesteperov 2025-02-04 12:45:45 MSK 
(Ответ для AVG на комментарий #2)
> Тестировали без указания параметра 'use-rfc2307'? И без внесения DNS-записи
> вручную?

Да, всё верно.
Comment 4 AVG 2025-02-04 13:08:36 MSK 
host test.alt выдает оба КД?
Comment 5 Evgeny Shesteperov 2025-02-04 13:17:58 MSK 
(Ответ для AVG на комментарий #4)
> host test.alt выдает оба КД?

Да.

Для проверки  использовал скрипт:

cat > check.sh <<EOF
#!/usr/bin/env -S bash -xe
samba-tool domain info 127.0.0.1
smbclient -L localhost -Uadministrator
cat /etc/resolv.conf
host test.alt
host -t SRV _kerberos._udp.test.alt.
host -t SRV _ldap._tcp.test.alt.
host -t A dc1.test.alt.
EOF

Все эти команды взяты из докуметации.
Comment 6 AVG 2025-02-19 01:34:53 MSK 
Всё же еще раз уточню. Вы точно не вносили DNS-запись второго КД при его заведении в домен?
Так как этот пункт присутствует в документации https://docs.altlinux.org/ru-RU/domain/10.4/html/samba/domain-join.html

# samba-tool dns add 192.168.0.122 test.alt DC2 A 192.168.0.123 -Uadministrator

Так же нашел упоминание указанного мной параметра 
dns update command = /usr/sbin/samba_dnsupdate --use-samba-tool
в этом репорте https://bugzilla.altlinux.org/39440

Судя по обсуждению https://lists.samba.org/archive/samba/2018-November/219362.html
А так же исходя из описания https://wiki.samba.org/index.php/Samba_Internal_DNS_Back_End#Setting_up_Dynamic_DNS_Updates_Using_Kerberos
Контроллер попросту не получает билет для добавления своей dns-записи и в обсуждении, как решение, предлагается либо разрешить обновление записи "любому", либо добавить указанный мной параметр.