Ввод в домен

SpiderEvgen

New member
Сообщения
2
#1
Подтвердите или опровергните : невозможно ввести компьютер в домен Windows 2003 Server , если имя домена начинается с цифры . Так это или нет ?

PS : у нас не получилось. Предположительно имя домена не соответствует "RFC 1035"
 

oko

New member
Сообщения
524
#2
to SpiderEvgen
Поглядел стандарт, криминального в "начальной цифре", imho, не заметил. Да, есть общая рекомендация <let+dig>, а не наоборот, но это только рекомендация...
А на Win2k8R2 или выше пробовали? Модуль экстрасенсорики подсказывает, что проблема может крыться не в интерпретации DNS-имени, а в подсистеме реализации kerberos-взаимодействия, которая в Astra Linux (да и в Debian 9+) уже не имеет обратной совместимости с Win2k3 по умолчанию?
 

SpiderEvgen

New member
Сообщения
2
#3
to SpiderEvgen
Поглядел стандарт, криминального в "начальной цифре", imho, не заметил. Да, есть общая рекомендация <let+dig>, а не наоборот, но это только рекомендация...
А на Win2k8R2 или выше пробовали? Модуль экстрасенсорики подсказывает, что проблема может крыться не в интерпретации DNS-имени, а в подсистеме реализации kerberos-взаимодействия, которая в Astra Linux (да и в Debian 9+) уже не имеет обратной совместимости с Win2k3 по умолчанию?

С win2008 не пробовали.
Ошибка связана с тем , что в обязательный параметр workgroup (samba.conf) прописывается автоматом первая часть домена (например, если домен 0000.astra.ru , то выставляется workgroup=0000) . Но естественно такой группы нет.
Возможно что-то с кеберос (но тикет подхватывается) , куда копать ?
 

oko

New member
Сообщения
524
#4
to SpiderEvgen
Группа 0000 у вас должна быть - это сокращенное название вашего домена в AD Windows (последний поддомен, если точнее). По-идее при авторизации пользователя под Win вы должны вводить нечто вроде "0000\Администратор", например. Samba его только дублирует в своем конфиге "workgroup = 0000" и дополнительно прописывает полное имя "realm = 0000.astra.ru"...
Ради интереса проверил, поддерживает ли Samba "цифровое" наименование workgroup в принципе (вдруг это недокументированная бага?). Результат - поддерживает...
Кстати, да, проверка тикета kerberos происходит независимо от настроек Samba (Linux с Kerberos можно в домен Windows вводить вообще без Samba). Но доступ к Samba-ресурсам, если соответствующим образом настроить krb5.conf и smb.conf, будет идти уже через Kerberos, а не через NTLM. Первично предполагал, что у вас в этом проблема...
Конфиги resolv.conf, krb5.conf и smb.conf покажите - так нагляднее будет...