#52909 – Ошибка обновления DNS в journalctl на SambaDC

Bug 52909 - Ошибка обновления DNS в journalctl на SambaDC

Summary: Ошибка обновления DNS в journalctl на SambaDC

Status:	CLOSED WORKSFORME

Alias:	None

Product:	Branch p10
Classification:	Unclassified
Component:	samba (show other bugs)
Version:	не указана
Hardware:	x86_64 Linux

Importance:	P5 normal
Assignee:	qa-team@altlinux.org
QA Contact:	qa-p10@altlinux.org

URL:
Keywords:

Depends on:
Blocks:

Reported:	2025-02-02 19:27 MSK by AVG
Modified:	2025-02-19 02:01 MSK (History)
CC List:	3 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description AVG 2025-02-02 19:27:40 MSK

После создания домена (SambaAD) или присоединения к нему нового контроллера домена (Samba DC) в системном журнале появляется периодическая ошибка об обновлении DNS записи:
dnsupdate_nameupdate_done: Failed DNS update with exid code 26;
dnsupdate_nameupdate_done: Failed DNS update with exid code 110.

Ошибка заключается в том, что на КД у службы "samba" не хватает прав на обновление/создание своей DNS-записи. При заведении в домен второго КД это наглядно видно - его DNS-запись не создается.

Решается данная проблема добавлением в файле "/etc/samba/smb.conf" параметра в разделе [global]:
dns update command = /usr/sbin/samba_dnsupdate --use-samba-tool

Предлагаю включить данное исправление в самбу и устанавливать данный параметр по умолчанию при создании домена или при включении в уже существующий домен контроллера домена.
Для проверки использовалась samba версии 4.19.9-alt4

Comment 1 Evgeny Shesteperov 2025-02-04 12:38:58 MSK

ALT Server 10.2 (обновлённый до P10)

Не воспроизвелась, настройку выполнял согласно документации https://docs.altlinux.org/ru-RU/alt-server/10.4/html/alt-server/sambadc--chapter.html

# samba-tool dns zoneinfo dc2 test.alt | grep pszZoneName
  pszZoneName                 : test.alt

Уточняйте настройку, если она специфична.

Comment 2 AVG 2025-02-04 12:45:16 MSK

Тестировали без указания параметра 'use-rfc2307'? И без внесения DNS-записи вручную?

Comment 3 Evgeny Shesteperov 2025-02-04 12:45:45 MSK

(Ответ для AVG на комментарий #2)
> Тестировали без указания параметра 'use-rfc2307'? И без внесения DNS-записи
> вручную?

Да, всё верно.

Comment 4 AVG 2025-02-04 13:08:36 MSK

host test.alt выдает оба КД?

Comment 5 Evgeny Shesteperov 2025-02-04 13:17:58 MSK

(Ответ для AVG на комментарий #4)
> host test.alt выдает оба КД?

Да.

Для проверки  использовал скрипт:

cat > check.sh <<EOF
#!/usr/bin/env -S bash -xe
samba-tool domain info 127.0.0.1
smbclient -L localhost -Uadministrator
cat /etc/resolv.conf
host test.alt
host -t SRV _kerberos._udp.test.alt.
host -t SRV _ldap._tcp.test.alt.
host -t A dc1.test.alt.
EOF

Все эти команды взяты из докуметации.

Comment 6 AVG 2025-02-19 01:34:53 MSK

Всё же еще раз уточню. Вы точно не вносили DNS-запись второго КД при его заведении в домен?
Так как этот пункт присутствует в документации https://docs.altlinux.org/ru-RU/domain/10.4/html/samba/domain-join.html

# samba-tool dns add 192.168.0.122 test.alt DC2 A 192.168.0.123 -Uadministrator

Так же нашел упоминание указанного мной параметра 
dns update command = /usr/sbin/samba_dnsupdate --use-samba-tool
в этом репорте https://bugzilla.altlinux.org/39440

Судя по обсуждению https://lists.samba.org/archive/samba/2018-November/219362.html
А так же исходя из описания https://wiki.samba.org/index.php/Samba_Internal_DNS_Back_End#Setting_up_Dynamic_DNS_Updates_Using_Kerberos
Контроллер попросту не получает билет для добавления своей dns-записи и в обсуждении, как решение, предлагается либо разрешить обновление записи "любому", либо добавить указанный мной параметр.