12 octobre 2021

TUTO Installer Samba 4 AD sous Debian 11

Test du serveur DNS et création de zone de recherche inversée

Test du serveur DNS

Après redémarrage du serveur, tous les services doivent être lancés automatiquement. Maintenant, on va tester le bon fonctionnement du serveur DNS interne de Samba. Pour cela on va traduire un enregistrement de type SRV. Bien sûr, adaptez avec votre nom de domaine :

host -t SRV _ldap._tcp.infotrucs.lan

-Cette commande doit afficher :

_ldap._tcp.infotrucs.lan has SRV record 0 100 389 dcsrv.infotrucs.lan.

-Aller, testons un enregistrement de type A :

host -t A dcsrv.infotrucs.lan

-Affichera :

dcsrv.infotrucs.lan has address 192.168.0.100

Le DNS est fonctionnel !

Création de la zone de recherche inversée

Créer la zone DNS de recherche inversée (PTR) :

samba-tool dns zonecreate 192.168.0.100 0.168.192.in-addr.arpa -U administrator

->Le mot de passe choisi lors de la promotion du DC est alors demandé. (ici P@ssword01)

-Dans la partie 0.168.192.in-addr.arpa vous devez entrer la partie réseau de l’IP du serveur du SAMBA mais de façon inversée. Ici le serveur est sur le réseau 192.168.0 donc inversé ça donne 0.168.192.

-A la suite de cette commande doit s’afficher :

Zone 0.168.192.in-addr.arpa created successfully

En page suivante, on teste l’authentification Kerberos.

Pages: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Share

You may also like...

29 Responses

  1. christian couvrat dit :

    Bonjour,
    Tout d’abord super tuto, mais j’ai un soucis, je n’arrive pas à integrer mon client win10 PRO au domaine via mondomaine.fr il ne le trouve pas mais, si je met « mondomaine » alors il me demande les identifiants, je les rentre et il ne trouve plus le serveur, tout votre tuto a été suivi à la lettre et sans erreur, je suis sous debian 11
    Merci pour votre aide,

    Cordialement

    • ben dit :

      Avez-vous testé de faire des requetes nslookup vers le serveur DNS depuis le client ? Vous vous assurerez de cette façon que le serveur répond et qu’il fonctionne.

      • christian couvrat dit :

        Bonsoir Ben,
        Pour répondre, nslookup ne m’a rien retourné, ensuite les commande DNS fonctionne bien, je le ping avec un autre pc sur le réseau, mais ce que je n’explique pas c’est le fait de lui rentrer le domaine « XXXXXX.YY » et qu’il me dise qu’il ne le trouve pas puis quand je lui rentre mon domaine en XXXXXX beh la il veux mes id et quand je lui donne beh il ne le trouve plus… j’ai tenté avec n mot de passe erroné et pareil même pas d’erreur… pour le moment j’ai tout viré et reinstallé DEBIAN 11 a neuf et SSH…

        • ben dit :

          Nslookup permet des commandes DNS, quand vous dites que les commandes DNS fonctionnent c’est à partir de quelle machine et avec quelles commandes ? Avant de tenter de rentrer le PC dans le domaine il faut d’abord être sûr que le client ping le serveur, et que nslookup requête bien le serveur DNS depuis le client Windows.

    • beent dit :

      vous avez bien mis le dns du serveur dans la carte reseau de votre client winsows ? sinon ce ne marchera pas,

      • ben dit :

        Tout à fait ! Mais j’ose espérer que oui XD

      • Anonyme dit :

        moi sa marche bien, faut juste bien se connecter sur le client windows avec une session du domain, sinon un tuto pour intégrer bind9 avec samba4 dans le futur ?

        • ben dit :

          Bonne question ! Je ne suis pas sûr que ce soit une bonne pratique d’ailleurs. S’il existe déjà un DNS sur le réseau c’est probablement parce qu’il a un autre rôle à jouer à la base. Vaudrait peut-être mieux mettre en relation les deux DNS, ou je ne sais pas. Quand j’aurais du temps je me pencherais sur la question !

  2. beent dit :

    un tuto pour intégrer bind9 dans le futur ?

  3. christian couvrat dit :

    Bonsoir,

    Donc, je me suis remis a la mise en place d’un contrôleur de domaine en suivant cette article, et cette fois ci je viens avec une réponse à mon problème qui m’a bouffé du temps… en faite une fois la manip terminée, lorsque du pc client je lançais un nslookup, j’avais un unknown suis d’une adresse ipv6! et mon domaine était donc introuvable, j’ai donc dans un premier temps désactivé l’ipv6 coté server, mais rien, alors j’ai fais de même mais coté client, et là… eureka !!! ça fonctionne nickel. Il faut donc penser à désactiver l’ipv6 de la carte réseau sinon ça ne fonctionne pas 🙂

    • ben dit :

      Merci de ta contribution. Je n’ai pas eu de problème de ce côté là personnellement et je ne me suis pas occupé de IPv6. C’est assez étonnant, surtout si tu pingue et que ça répond sans avoir encore désactivé IPv6. J’avoue que je reste perplexe 😀

  4. christian couvrat dit :

    Bonsoir Ben,
    Non justement le ping non plus sauf l’IP du AD,
    Mais si je faisais ping mondomaine.local rien, ce qui m’a permis de chercher ailleurs … Et lorsque j’ai fais un nslookup mondomaine.local… il me répondait unknown puis dessous l’IP V6 avec ensuite la petite phrase qui va bien me disant non-exixtant server…
    Mais je vais refaire mon installation en propre maintenant que je sais … Alors petit détail est win11 aussi qui a l’IP V6 activé par défaut ? Ça serait pas impossible… Je reste dans 15j et te dis. Enfin ton tuto est vraiment nickel merci pour ton boulot.

    Bonne soirée à toi

    • ben dit :

      Merci à toi. Oui je parlais du ping IP. Ok ça vaudrait le coup de retester avec windows 10 du coup, car si c’est la seule différence ça peut être le problème en effet. Bonne journée.

  5. NanoZero dit :

    Excellentes explications, très bonne pédagogie.
    Pour ma part même problème que pour @Christian_Couvrat, à un détail près : le serveur est derrière un VPN (OpenVPN en TAP). Les requêtes DNS passent très bien sur IPv4 comme IPv6 en revanche l’accès au domaine ne se fait pas : MONDOMAINE.LAN ne fonctionne pas et MONDOMAINE me demande des informations d’identification qui tournent dans le vide : une communication se fait donc bien.
    Votre documentation étant très bien faite, je pense que le soucis vient davantage de ce que laisse passer ou non le VPN mais si vous aviez une idée immédiate d’où pourrait venir à coup sûr le problème, n’hésitez pas.
    En vous remerciant.

  6. NanoZero dit :

    Rebonjour,
    Merci de votre réponse rapide (en plus !). C’est deux pages que j’avais en effet consultées dernièrement et que j’ai donc appliquées à mon serveur sur votre recommandation. Je pense avoir compris d’où vient mon problème. Je suivais votre documentation dans l’idée de voir comment tout cela fonctionnait avant de l’appliquer professionnellement et donc je l’ai fait avec deux machines sur un réseau local familiale (entendre par là : derrière une box). Et le soucis doit venir de là. Je pense que le DNS interne de Samba fonctionne, en revanche le DNS de la box a tout planté et fait qu’une requête « nslookup » (sur le PC W10 Pro) sur l’adresse du serveur répond : « serveur.home » et non : « serveur.domaine.lan » comme il se devrait. En gros, la box fait autorité et on sait comment les box sont personnalisables… Bref, je vais me débrouiller.
    D’autre part, une question m’est venue, pourquoi ne pas faire : « samba-tool dns zonecreate serveur.domaine.lan [adresse_ip] -U administrator » ? Samba le fait-il lui-même automatiquement ? Je suis novice avec l’outil DNS de Samba que je ne connaissais pas, j’ai jusque là utilisé Bind9 et DNS Masq alors je suis perdu car je ne comprends pas où sont écrits les enregistrements.
    Quoi qu’il en soit, merci !

    • ben dit :

      Perso je ne me suis limité qu’à l’administration du DNS intégré via RSAT et donc avec interface graphique et la zone était bien créée. Il me semble que j’avais juste créé la zone inversée via RSAT. On peut aussi ajouter des zones via samba-tool mais pas besoin de faire la zone principale.
      C’est étonnant que le client windows requete le DNS de la box. Vous l’avez mise en redirecteur dans le serveur DNS de samba ? Avez-vous bien mis l’adresse du samba comme DNS sur le windows ?
      Si le client windows requete le DNS samba et ne trouve pas votre domaine alors il demande au redirecteur. Ajoutez un enregistrement dans le DNS samba via RSAT et voyez si vous pouvez le resoudre via le Windows.
      Dur de vous aidez à distance, je ne sais pas il faut tout essayer quoi ^^

      • NanoZero dit :

        Désolé de vous avoir fait perdre votre temps : comme @Christian_Couvrat, le problème venait là aussi de l’IPv6 mais chez moi pour une raison différente. En effet, la box est en IPv6 et les requêtes DNS passent d’abord par l’IPv6 pour être résolue quand elles le peuvent, sinon c’est l’IPv4 qui prend le relais. Et le soucis dans mon réseau qui n’a rien de pro : le DNS de la box répondait en IPv6 et avait nommé mon serveur : « serveur.home ». « Requête résolue », on s’arrête là mais ce n’est pas le comportement voulu. Or si l’on vérifiait la même chose sur le DNS du serveur en IPv4 (ce que l’on peut faire automatiquement en dé-configurant l’IPv6 de l’interface du W10 Pro) c’est bien le nom : « serveur.domaine.lan » qui ressortait du DNS du serveur ! Et donc ensuite tout fonctionne. Désolé de vous avoir fait perdre du temps sur mon problème, toutefois j’ose espérer que cette information permettra à d’autres de comprendre que l’IPv6 en DNS peut poser problème lors de la configuration d’un domaine Samba en IPv4.
        Quoi qu’il en soit, merci ! Au plaisir de lire vos prochaines documentations.

  7. christian couvrat dit :

    Salut Ben,
    Premièrement, une bonne et heureuse année 2022 à toi et surtout la santé 🙂
    Donc, me revoilà avec une installation toute neuve, et je te confirme que même win10 à l’ip V6 activée par défaut, il faut donc le désactiver pour que cela fonctionne, pour répondre partiellement à @NanoZero, je vais mettre en place un VPN en passant par PFsense, j’ai mais, voici ma nouvelle install pour mieux comprendre et surement plus de facilité (une fois que tout fontionne):
    – un serveur prolians ML350 G8V2 avec proxmox v7 installé dessus
    – un routeur secondaire qui me sert de switch eth et wifi
    – un serveur prolians ML110 (oui il est vieux ah ah) qui me sert d’AD
    PFsense est installé en VM sur proxmox
    J’ai 2 interfaces réseau physique et 2 virtuelles vmbr0 et vmbr1, la zero est relié au WAN et la 1 au LAN, c’est important pour le bon fonctionnement. Mon LAN communique bien vers le WAN, ping et tout OK, mais du WAN vers le LAN nada… c’est ce qu’on recherche… donc vu que le pfsense communique avec le WAN on peut donc mettre en place un VPN, il faut aller voir coté règle de routage pour autoriser le traffic.
    Mais j’ai un soucis que je vais poster sur ton tuto coté pfsense, il sera à la bonne place 🙂 . sinon @ Ben tu fais du bon boulot 🙂 encore merci.

  8. Eric Lemaitre dit :

    Bonjour,

    Votre tuto (remaquable d’ailleurs), mentionne l’utiliation de la Debian 11.1, dois je impérativement utiliser celle ci ou puis-je installer le 11.2 ?

    • ben dit :

      Bonjour !
      Et merci beaucoup 🙂
      Je pense qu’il n’y a pas de problème à l’utilisation de la 11.2 car je ne pense pas qu’il y aura de différence notable. C’est généralement quand on change de release qu’il peut y avoir de gros changements. A tester ! Votre retour est bienvenu à ce sujet.
      Bon montage!

  9. Rice OUATENE dit :

    Salut j’ai exécuté les commandes susmentionnées mais mon serveur samba n’est toujours pas activé. Que faire alors?

  10. Romain dit :

    bonjour, j’ai suivi votre tuto et quand j’entre la commande kinit administrator cela me marque une erreur:

    kinit: cannot find KDC for realm « nom de mon serveur » while getting initial credentials.

    seriez d’où vient cette erreur ? merci pour votre réponse

  11. Lucas dit :

    Bonjour, tout d’abord merci pour ce tuto qui m’aide bien. J’ai un problème lors de la première commande host cela m’affiche not found: 3(NXDOMAIN). Auriez-vous une idée de pourquoi ? Merci à vous

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *


The reCAPTCHA verification period has expired. Please reload the page.