» Надо сделать PDC на FreeBSD 6.1

Я сравнительно недолго работаю с FreeBSD но успел по видимому влипнуть в нее всерьез. Так осенью поставил шлюз со сквидом и прочим. Понравилось. Да тут начальство захотело винды легализовать, а в продаже только ХР. Сейчас то у нас 2000 (нелегальные) в кол-ве 38 машин. Сунулся я, а с ХР наш доменный контроллер не работает. То есть к домену якобы подключает, но после перезагрузки не дает никаких прав, говорит профиль не найден, и в довершение всего к этой машине нельзя обратиться, нет доступа хотя в домене ее видно. Причем машины с 2000 к домену подключаются и работают нормально. В общем памятуя что лучшее - "враг хорошего" я выбил неплохой комп, и начал ставить временный PDC для ХР (чтоб значит старый домен пока не рушить).
Найдя статью (http://www.linuxportal.vrn.ru/index.php?title=SAMBA_PDC_FreeBSD_6.1) порадовался что все понятно, поставил Free 6.1, самбу, проделал рекомендуемые в статье пассы и перезагрузился. Только вот команда net groupmap list ничего не выводила (пустой список), и я решил создать группы nt_admins и nt_users вручную, через net groupmap add.
В моей ХР СП2 после подключения не нашелся профиль и подключило как гостя, без прав и возможности что-либо сменить(ранее был администратор). Хотя снаружи комп виден, доступ к нему есть, он может обратиться к PDS, но даже до своих локальных файлов не добраться. Даже настройки браузера каждый раз приходится вводить заново.

В событиях записаны следующие ошибки (привожу 3):

Автоматическая подача заявки на сертификат Локальная система: не удалось связаться с каталогом Active Directory (0x8007054b). Указанный домен не существует или к нему невозможно подключиться.
Подача заявки выполнена не будет.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Не удалось найти ваш локальный профиль, вход в систему выполнен с временным профилем. Любые изменения профиля будут потеряны при выходе.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".


Не удалось найти ваш локальный профиль, вход в систему выполнен с временным профилем. Любые изменения профиля будут потеряны при выходе.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Хелп почитал, но яснее не стало. Не подскажите ли направление дальнейшего движения ?
По моему требует от домена Active Directory которого там разумеется нет. Но ведь ХР по моему может работать с доменами NT4. Почему у меня не хочет ?

Очень на Вас надеюсь. Может в ХР что поправить ?

У lissyara на сайте несколько статей по этому поводу лежит.
Вот сайт - http://www.lissyara.su/. Только сейчас сайт тоже лежит :)

Добавлено:
я делал как-то - у меня получалось.

могу вам написать только одно: для современного офиса размером 50 компов подходит домен.
домен NT4 уже давно устарел. домен a-la NT4 на базе samba - устарел уже при появлении.

ставить такие решения в серьезной компании - ну, по меньшей мере, смешно. XP стоит довольно дешево, домен нужен - ставьте на подходящей для этого системе.

что до сообщений об ошибках, то вам надо бы наладить логирование на samba. как это сделать - множество раз описано в интернете.

если очень хочется иметь домен с клиентами на ms Windows, то и домен на нем же надо делать. иначе, ... иначе это получится некрасивое, несовременное и странное решение.

ну, на 10-12 компов я делал NT4 домен. и то в ущерб администраторским задачам (правда, я там и не сисадмин, и насколько я знаю нет там админа). но на 38-50...

myrevox
Перемещаемые профили отключи (в конфиге самбы закомментируй строки)
Про профили самое то прочитать в документации по самбе
Если у тебя комп добавился в домен (ты выполняешь login с именем пользователя присутствующим в smbpasswd) то PDC работает исправно и NT5 или NT4 домен думать уже не нужно.
samba.org точно почитал?
keyhell
У меня домен, PDC на самбе в домене около сотни XP машин и четыре Windows 2003 server. Всё прекрасно работает. Чем такое решение странно?

Цитата:

keyhell
У меня домен, PDC на самбе в домене около сотни XP машин и четыре Windows 2003 server. Всё прекрасно работает. Чем такое решение странно?

очевидно тем, что не понятно зачем это сделано.

смысл?! - ну, допустим, экономия... дык, какая экономия при сотне клиентов. если есть деньги на 100 клиентских XP, то и на Win сервер с AD должно хватать. если все пиратское, то какая разница какой сервер.

вообщем, смысла не вижу. очевидно, что решение на samba (DC a-la NT4) - это искусственное заужение собственных возможностей в плане администрирования и (не уверен) безопасности.

выбор админа он должен базироваться на целесообразности, т.е. на задачах, которые предстоит решать.

а задачи при таких объемах: улучшать безопасность, улучшать инфраструктуру и т.п. На samba (NT4) в настоящий момент возможен лишь коллапс задач, т.к. каждая новая задача решается все более "извращенными" способами.

Есть довольно интегрированное решение (во все стороны и дыры интегрированное!) AD + системы MS Win XP, MS Win 2003 и т.п.

И в настоящий момент нет объективных причин делать какие-то другие решения для офисной сети.

Спасибо, ребята. Как и предполагал, дело оказалось в профиле и решилось правкой политики на станции. Спасибо, ankistua. Благодарю ANBANB за данную ссылку, она пояснила ВСЕ и даже больше. Еще раз спасибо.
2 keyhell
Есть две позиции - сделать то что надо не задавая вопросов (я не Вас имею ввиду), и другая- расплыться мыслью по древу (как явлинский) и говорить что вот если бы я ... И славо Богу что ему то и не дадут никогда. И все (и он) это знают, и всех (и его) это устраивает. И слава Богу.
Спасибо теи кто делает.
Андрей

Цитата:

2 keyhell
Есть две позиции - сделать то что надо не задавая вопросов

увы, я вижу вокруг слишком много примеров того, как люди каждый раз делают какие-то решения так, как им хочется.

в свое время я несколько раз сталкивался с тем, что такие решения _полностью_ роняли авторитет UNIX/Linux систем в глазах заказчиков. однажды криво сделанное решение, которое доставило проблемы - и заказчик теряется.

посему, где могу, и пока есть желание, я буду писать о том, что в production работу годятся стандартные решения, о том, что профессионал он тем и отличается от любителя, что умеет жертвовать своими амбициями в пользу дела и т.п. и т.д.


Цитата:

(я не Вас имею ввиду)

ой, а вы думаете меня это волнует?! поверьте, не вы первый, не вы последний.
и на этом форуме, и еще на нескольких, на которых я пишу.

и уж, конечно, не первый год.


Цитата:

и другая- расплыться мыслью по древу (как явлинский) и говорить что вот если бы я ... И славо Богу что ему то и не дадут никогда. И все (и он) это знают, и всех (и его) это устраивает. И слава Богу.
Спасибо теи кто делает.

слава богу, что мои слова в IT может подтвердить мой практический опыт. CV мое присутствует на сайте.

хочу иметь перемещаемые профили, потому как люди работают посменно и рабочих мест гораздо меньше чем работников.
Не хочу платить лишниые 1300 за лицензии.

И почему это не красиво ? согласен - ад удобнее в плане управления. Но чем там управлять - единоразово настраивается и все, потом просто чего-то добавить/удалить

Цитата:

хочу иметь перемещаемые профили, потому как люди работают посменно и рабочих мест гораздо меньше чем работников.
Не хочу платить лишниые 1300 за лицензии.

И почему это не красиво ? согласен - ад удобнее в плане управления. Но чем там управлять - единоразово настраивается и все, потом просто чего-то добавить/удалить

я спорить не буду. просто нет времени.
для автора проблема решена - вот и слава богу.

Назрела нужда организовать домен (офис. ~80 компов).
Сейчас освободился сервак W2k3(левый)/2x32bit_HyperThreading.
Железо найдено Остался софт...

В инете чегото много статей как че делать на линуксе/фре, проект GOsa какойто красивый.
Вроде у всех работает, но пишут что эта текущая самба это NT4 блаблабла...

Мне от Домена надо:
1) Чтоб юзеры логинились через сервак. Для более простого выполнения пунктов 2,3,4,6.
2) Централизованный запуск скриптов (настройки винды, апдейты и т.п.)
3) Расшаренные папки на серверах (ну и на компах может) для определенных групп.
4) Получится разобраться с нуждами в правах со всеми прогами ДляРаботы и тогда всех пользователей с чистой совестью в Users Group !
5) Возможно в будущем подключение к домену 1-2 офисов. Тогда в них надо будет делать BDC или как там он щас просто ReadOnly_DC(такой вариант подойдет даже лучше).
6) Прикрутить авторизацию в squid+sams.
7) Поднять ejabberd для внутреннего общения. Наверно лучше если новые юзеры в него сами попадать будут.

Вообще для п.5 репликацию PDC->BDC через Samba+OpenLDAP возможно сделать ?
(В связках nix->nix или Win2k3->nix)

Для нужных 1-2 виндёвых прог под линуксом можно будет запустить vmware server думаю... Получится ли под FreeBSD ?

Вот не знаю че делать. Запускать на винде роль ActiveDir или ставить FreeBSD-7 (openSuse-11 еще есть) ?

PS.
Сейчас шлюз на фре вертится Филиалы<->Офис<->Инет. Так ниче...нормуль. Еще IDS надо будет добавить
К слову...планируется постепенный переход примерно хотябы 50% с винды на Ubuntu или openSuse.

Блин на 2003 винде фаервол никакой. Придется WIPFW наверно ставить хотя не пробовал еще. Ну этож будет ужо полный отпад

Добавлено:
Почитал статью как засунуть в самбу GroupPolicy. Гдето я еще подобную видел... Так вроде ништяк. а ?

Кто пользовался SLES? Может мне лучше скачать SLES и завести eDirectory (ну или купить их. так и не допонял толи они платные, толи только тех.поддержка)

ну так в таком случае уже лучше купить винду и поднять родной акти директори.

Поднят. родной. Подожду пока выхода samba4.

а чего ждать ? кардинально ничего не изменится. Да и если грамотно подойти к вопросу, то проблем с переходом быть не может в принципе.

Вы, главное, определитесь зачем вам это надо? и надо ли вообще.

Да чето винда доставать стала, после того как сервак на фре поднял. Там хоть и сложновато поначалу, но зато более-менее понятно.

А у винды...Ж. да вот из последнего - вот у 2008 сколько ни ставь что сеть Частная, всеравно все заблокирует и наплюет на разрешения файера, а после перезагрузки поставит Публичную и подобреет.
Что за поведение аля "Нажимал печать а мне музыку включило" :@ ?!

Цитата:

Блин на 2003 винде фаервол никакой. Придется WIPFW наверно ставить хотя не пробовал еще. Ну этож будет ужо полный отпад

Чувак это дизайн такой. Подразумевается что все побегут в обязательном порядке покупать вот это
http://allsoft.ru/program_page.php?grp=68909
а через пару недель как обнаружат то что он кое что не умеет делать и побегут покупать что нибудь вроде вот этого
http://allsoft.ru/program_page.php?grp=27624


Цитата:

если есть деньги на 100 клиентских XP, то и на Win сервер с AD должно хватать

38 машинок вроде то всего. Не так все страшно.


Цитата:

ну так в таком случае уже лучше купить винду и поднять родной акти директори.

к чему такая страсть в поднимании active directory? если у вас используются только лицензионные решения для win и нелимитированный бюджет то оно конечно да, управлять удобней, почти все фичи сразу "из коробки" почти без шаманства, не спорю удобно.

Только вот официально во всей документации Microsoft для сети =>38 машин рекомендуется использовать как минимум два контроллера домена, http://allsoft.ru/program_page.php?grp=54834 - 2 штуки пожалуйста заверните.
и надо учесть что помимо самого сервера надо покупать еще клиентские лицензии на доступ - Clt. А если понадобится сервер терминалов - еще и лицензии для сервера терминалов.

так что очень может быть что стоимость этих решений как раз и есть

Цитата:

это искусственное заужение собственных возможностей в плане администрирования и (не уверен) безопасности.

Цитата:

улучшать инфраструктуру и т.п.

Во во и я о том же. По моему за эти деньги можно пару очень даже неплохих серверов собрать и fail-overing в samba/nfs настроить, инструменты для бекапов важных данных по сети, мониторинг сети и так далее. Пакет dhcp3-server кстати тоже fail-over поддерживает. Да посложней конечно, не "из коробки" ну и что с этого?


Цитата:

улучшать безопасность,

Любая версия винды, учитывая гиганское количество гуляющих вирусов написанных под нее безопастность вам не сильно улудшит. Плюс нужна постоянная подписка на антивирус для всех рабочих станций как минимум, про пользу GP и как она магически излечивает от вирусов не надо сказок пожалуйста, в реальной жизни не все так сказочно.

Конечно полностью заменить повсеместно винду едва ли так просто удасться, но не удивлюсь тому что у товарища через пару месяцев половина офисных машинок на каком нибудь centos или desktopbsd каком нибудь будет работать.

Цитата:

к чему такая страсть в поднимании active directory? если у вас используются только лицензионные решения для win и нелимитированный бюджет то оно конечно да, управлять удобней, почти все фичи сразу "из коробки" почти без шаманства, не спорю удобно.

ага - я такое видел. Сидят и медитируют на сервер - а он не загружается. Плана починки нет, что делать - тоже идей нет, бекапов нет, логинов и паролей тоже нет. Это реальная ситуация - контора на 100 машин.

Ну не нужны микрософту думающие админы - нужны тупые аникейщики, которые могут по книжке пройти и сделать пошагово что написано.

И софта для руления присутсвует - красивенькая, виндовозники не пугаются :)
http://www.freshports.org/sysutils/ldap-account-manager/ - консоли они совсем боятся.


З.Ы. допишите к проблемам и боязнь вирусов - одна гадость может уложить всю сеть без проблем.

Добавлено:
В самбу пока не лезте - рекомендую начать с dhcp, bind-а и squid-а, плавно подойти к exim+dovecot+roundcube и уже потом подходить к самбе.