Error al login de pfsense al dominio AD de Zentyal

onai12484

Hola a todos, son nuevo y no se como crear una consulta, espero no estar cometiendo algún error, por favor discúlpenme si fuese el caso.

Estuve buscando hace meses una solucion firewall , de active directory y correos, despues de leer varios foros entendi que para el active directory use zentyal y para el firewall use pfsense, entonces dije: manos a la obra! primero por separado virtualizando todo probé zentyal (correos desde la web y active directory) y se ajusto a mis necesidades para mi proyecto. Luego en otro escenario probe pfsense(el firewall y proxy) y se ajusto a mis necesidades.

Cuando decidí juntar en una sola red zentyal y pfsense me tope con este problema. El zentyal esta en la vlan 100 y el cliente windows en la vlan 50 (vlan creada en pfsense), coloque 2 clientes windows7 (uno en la vlan 100 para probar si algo anda mal con el zentyal y otro en la vlan 50, el que deseo se una al dominio en el zentyal).

El windows en la vlan 100 se unió sin problemas al dominio (estaban en la misma vlan que el servidor zentyal) , pero el cliente windows de la vlan 50 no logro unirse al dominio (deja colocar el usuario y la contraseña del dominio pero despues de estar cargando un rato arroja el siguiente error )

"Error al intentar unirse al dominio midominio.com: el nombre de red especificado ya no esta disponible"

Nota: El firewall en mi desesperacion a este problema solo para estar seguro de que no fue una regla que puse lo que causo el problema, decidi dejar las reglas: any any any any a la vlan 50 , vlan 100 y la LAN (por la interface de la lan cree la vlan 40,50,80 y 100). Pero el problema persiste.  :'(
Probé con el comando nslookup y si resuelve el nombre de dominio direccionando al ip del servidor zentyal, tanto el cliente y el zentyal pueden hacer ping el uno al otro y los clientes tienen acceso a internet.

Uso zentyal 4.2 y pfsense 2.2.6

alguien ¿me podría guiar que estoy haciendo mal? se los agradecería mucho.

javcasta

Hola

Por probar:

Distintas VLANS equivale a distintos dominios de broadcast (redes o subredes diferentes) y eso implica que los msgs  broadcast de Netbios no traspasan su red (los dispositivos de capa 3 bloquean ese tráfico).

Si estas intentando unir al dominio un equipo vía su netbios hostname , p.e: pc12, y el DC/AD está en otra red (distinto dominio de broadcast) deberá usar su FQDN, para el dominio midominio.com: pc12.midominio.com

"Para que AD funcione tiene como requerimiento fundamental la resolución de nombres por DNS, no funciona salvo algunas pocas opciones por NetBIOS. "Sin DNS correctamente configurado, no hay Dominio""

Una referencia:No se puede unir un equipo con Windows 7 en el dominio.
https://support.microsoft.com/es-es/kb/979761

Salu2

onai12484

Hola, siento el retraso.

Probé colocar el nombre de mi host seguido por el de mi dominio, p.e: pcmartinez1 junto a mi dominio midominio.com:    pcmartinez1.midominio.com
Me arroja un error en el que dice que ingreso mal el dominio. También trate de unir al dominio usando el nombre del servidor: zentyal1  –>  zentyal1.midominio.com
No tuve exito, me indico que ingresaba mal el dominio.

Este escenario lo estoy virtualizando , podría ser ese mi error? como comente antes, por separado zentyal y pfsense trabajan bien (el problema es unir al dominio los clientes que estan fuera de la vlan 100 donde se encuentra el servidor.)

La resolución de nombres la pruebo con el comando nslookup, al ingresar el nombre del dominio:  midominio.com ---> me devuelve el ip del servidor.
al colocar el ip del servidor --> me devuelve el nombre del dominio.

Probé las soluciones del cliente windos 7 , la única que no pude probar fue la solución 3 Crear la cuenta de equipo directamente en el controlador de dominio.. (entendí que debo crear el nombre del equipo p.e: pcmartinez1 pero no se como hacerlo en zentyal).
Si se refiere a crear cuentas para unir una pc al dominio, entonces tengo muchas creadas y las he usado para unir este cliente al dominio pero me sale error al unirme con : midominio.com

y al tratar con pcmartinez1.midominio.com o  zentyal1.midominio.com  me indica que no hay un dominio así (como si no existiera)

javcasta

Hola.

Como esto es un foro de pfSense (y por añadidura de redes/networks/firewall/routing & switching), poco te puedo indicar sobre la conf de tu DC/AD Samba

El meollo del asunto para troubleshooting de SMB suele estar para una inst estandard de Samba en linux en /etc/samba/smb.conf

[global]
workgroup = MIDOMINIO
realm = MIDOMINIO.COM
netbios name = zentyal1
server role = active directory domain controller
dns forwarder = 192.168.0.254 #ip lan pfsense, que actua como DNS server para Inet
server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate, dns, smb, smbd
dcerpc endpoint servers = epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, spoolss, drsuapi, dssetup, unixinfo, browser, eventlog6, backupkey, dnsserver, winreg, srvsvc
idmap_ldb:use rfc2307 = yes
server string = Samba DC AD file and print server
security = user
hosts allow = 127. 192.168.0.
interfaces = lo0 eth0
bind interfaces only = yes
remote announce = 192.168.0.255
remote browse sync = 192.168.0.255
#…

ETC

Yo iria a su wiki y miraria que puertos usa SaMBa como AD/DC https://wiki.samba.org/index.php/Samba_AD_DC_port_usage

Port usage when Samba runs as an Active Directory Domain Controller
Service Port protocol
DNS* 53 tcp/udp
Kerberos 88 tcp/udp
End Point Mapper (DCE/RPC Locator Service) 135 tcp
NetBIOS Name Service 137 udp
NetBIOS Datagram 138 udp
NetBIOS Session 139 tcp
LDAP 389 tcp/udp
SMB over TCP 445 tcp
Kerberos kpasswd 464 tcp/udp
LDAPS (only if "tls enabled = yes") 636 tcp
Dynamic RPC Ports** 1024-5000 tcp
Global Cataloge 3268 tcp
Global Cataloge SSL (only if "tls enabled = yes") 3269 tcp
Multicast DNS 5353 tcp/udp

Y desde tu AD/DC desde shell ejecutar

netstat -tulpn | egrep "samba|smbd|nmbd|winbind"

Para ver los puertos que usa.

Y testearia si desde una Lan a otra lan son accesibles esos puertos, si son accesibles es que el pfSense no es el impedimento a priori para el problema, y si no son accesibles, crea reglas para que lo sean esos puertos (con destino el AD/DC)

Salu2

====

add: Y en el pfSense crea un Domain Override en DNS resolver o forwarder (el que use) tal que

midominio.com <–->  ip-lan-del-dc-ad

neldanni

En resumen si es problemas por el bloadcast al estar en redes distintas.
Solucion Coloca el dns y Wins de tu servidor en las maquinas que quieres agregar la dominio.
con esto haras que nos busquen en tu red sino en la ip del servidor.
No es un problema de pfsense, es algo de tu infraestructura y lo cual te hubiera parado con active directory privado de MS WIN (a mi me paso).

@onai:

Hola a todos, son nuevo y no se como crear una consulta, espero no estar cometiendo algún error, por favor discúlpenme si fuese el caso.

Estuve buscando hace meses una solucion firewall , de active directory y correos, despues de leer varios foros entendi que para el active directory use zentyal y para el firewall use pfsense, entonces dije: manos a la obra! primero por separado virtualizando todo probé zentyal (correos desde la web y active directory) y se ajusto a mis necesidades para mi proyecto. Luego en otro escenario probe pfsense(el firewall y proxy) y se ajusto a mis necesidades.

Cuando decidí juntar en una sola red zentyal y pfsense me tope con este problema. El zentyal esta en la vlan 100 y el cliente windows en la vlan 50 (vlan creada en pfsense), coloque 2 clientes windows7 (uno en la vlan 100 para probar si algo anda mal con el zentyal y otro en la vlan 50, el que deseo se una al dominio en el zentyal).

El windows en la vlan 100 se unió sin problemas al dominio (estaban en la misma vlan que el servidor zentyal) , pero el cliente windows de la vlan 50 no logro unirse al dominio (deja colocar el usuario y la contraseña del dominio pero despues de estar cargando un rato arroja el siguiente error )

"Error al intentar unirse al dominio midominio.com: el nombre de red especificado ya no esta disponible"

Nota: El firewall en mi desesperacion a este problema solo para estar seguro de que no fue una regla que puse lo que causo el problema, decidi dejar las reglas: any any any any a la vlan 50 , vlan 100 y la LAN (por la interface de la lan cree la vlan 40,50,80 y 100). Pero el problema persiste.  :'(
Probé con el comando nslookup y si resuelve el nombre de dominio direccionando al ip del servidor zentyal, tanto el cliente y el zentyal pueden hacer ping el uno al otro y los clientes tienen acceso a internet.

Uso zentyal 4.2 y pfsense 2.2.6

alguien ¿me podría guiar que estoy haciendo mal? se los agradecería mucho.