Error al login de pfsense al dominio AD de Zentyal



  • Hola a todos, son nuevo y no se como crear una consulta, espero no estar cometiendo algún error, por favor discúlpenme si fuese el caso.

    Estuve buscando hace meses una solucion firewall , de active directory y correos, despues de leer varios foros entendi que para el active directory use zentyal y para el firewall use pfsense, entonces dije: manos a la obra! primero por separado virtualizando todo probé zentyal (correos desde la web y active directory) y se ajusto a mis necesidades para mi proyecto. Luego en otro escenario probe pfsense(el firewall y proxy) y se ajusto a mis necesidades.

    Cuando decidí juntar en una sola red zentyal y pfsense me tope con este problema. El zentyal esta en la vlan 100 y el cliente windows en la vlan 50 (vlan creada en pfsense), coloque 2 clientes windows7 (uno en la vlan 100 para probar si algo anda mal con el zentyal y otro en la vlan 50, el que deseo se una al dominio en el zentyal).

    El windows en la vlan 100 se unió sin problemas al dominio (estaban en la misma vlan que el servidor zentyal) , pero el cliente windows de la vlan 50 no logro unirse al dominio (deja colocar el usuario y la contraseña del dominio pero despues de estar cargando un rato arroja el siguiente error )

    "Error al intentar unirse al dominio midominio.com: el nombre de red especificado ya no esta disponible"

    Nota: El firewall en mi desesperacion a este problema solo para estar seguro de que no fue una regla que puse lo que causo el problema, decidi dejar las reglas: any any any any a la vlan 50 , vlan 100 y la LAN (por la interface de la lan cree la vlan 40,50,80 y 100). Pero el problema persiste.  :'(
    Probé con el comando nslookup y si resuelve el nombre de dominio direccionando al ip del servidor zentyal, tanto el cliente y el zentyal pueden hacer ping el uno al otro y los clientes tienen acceso a internet.

    Uso zentyal 4.2 y pfsense 2.2.6

    alguien ¿me podría guiar que estoy haciendo mal? se los agradecería mucho.



  • Hola

    Por probar:

    Distintas VLANS equivale a distintos dominios de broadcast (redes o subredes diferentes) y eso implica que los msgs  broadcast de Netbios no traspasan su red (los dispositivos de capa 3 bloquean ese tráfico).

    Si estas intentando unir al dominio un equipo vía su netbios hostname , p.e: pc12, y el DC/AD está en otra red (distinto dominio de broadcast) deberá usar su FQDN, para el dominio midominio.com: pc12.midominio.com

    "Para que AD funcione tiene como requerimiento fundamental la resolución de nombres por DNS, no funciona salvo algunas pocas opciones por NetBIOS. "Sin DNS correctamente configurado, no hay Dominio""

    Una referencia:No se puede unir un equipo con Windows 7 en el dominio.
    https://support.microsoft.com/es-es/kb/979761

    Salu2



  • Hola, siento el retraso.

    Probé colocar el nombre de mi host seguido por el de mi dominio, p.e: pcmartinez1 junto a mi dominio midominio.com:    pcmartinez1.midominio.com
    Me arroja un error en el que dice que ingreso mal el dominio. También trate de unir al dominio usando el nombre del servidor: zentyal1  –>  zentyal1.midominio.com
    No tuve exito, me indico que ingresaba mal el dominio.

    Este escenario lo estoy virtualizando , podría ser ese mi error? como comente antes, por separado zentyal y pfsense trabajan bien (el problema es unir al dominio los clientes que estan fuera de la vlan 100 donde se encuentra el servidor.)

    La resolución de nombres la pruebo con el comando nslookup, al ingresar el nombre del dominio:  midominio.com ---> me devuelve el ip del servidor.
    al colocar el ip del servidor --> me devuelve el nombre del dominio.

    Probé las soluciones del cliente windos 7 , la única que no pude probar fue la solución 3 Crear la cuenta de equipo directamente en el controlador de dominio.. (entendí que debo crear el nombre del equipo p.e: pcmartinez1 pero no se como hacerlo en zentyal).
    Si se refiere a crear cuentas para unir una pc al dominio, entonces tengo muchas creadas y las he usado para unir este cliente al dominio pero me sale error al unirme con : midominio.com

    y al tratar con pcmartinez1.midominio.comzentyal1.midominio.com  me indica que no hay un dominio así (como si no existiera)



  • Hola.

    Como esto es un foro de pfSense (y por añadidura de redes/networks/firewall/routing & switching), poco te puedo indicar sobre la conf de tu DC/AD Samba

    El meollo del asunto para troubleshooting de SMB suele estar para una inst estandard de Samba en linux en /etc/samba/smb.conf

    [global]
    workgroup = MIDOMINIO
    realm = MIDOMINIO.COM
    netbios name = zentyal1
    server role = active directory domain controller
    dns forwarder = 192.168.0.254 #ip lan pfsense, que actua como DNS server para Inet
    server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate, dns, smb, smbd
    dcerpc endpoint servers = epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, spoolss, drsuapi, dssetup, unixinfo, browser, eventlog6, backupkey, dnsserver, winreg, srvsvc
    idmap_ldb:use rfc2307 = yes
    server string = Samba DC AD file and print server
    security = user
    hosts allow = 127. 192.168.0.
    interfaces = lo0 eth0
    bind interfaces only = yes
    remote announce = 192.168.0.255
    remote browse sync = 192.168.0.255
    #…

    ETC

    Yo iria a su wiki y miraria que puertos usa SaMBa como AD/DC https://wiki.samba.org/index.php/Samba_AD_DC_port_usage

    Port usage when Samba runs as an Active Directory Domain Controller
    Service Port protocol
    DNS* 53 tcp/udp
    Kerberos 88 tcp/udp
    End Point Mapper (DCE/RPC Locator Service) 135 tcp
    NetBIOS Name Service 137 udp
    NetBIOS Datagram 138 udp
    NetBIOS Session 139 tcp
    LDAP 389 tcp/udp
    SMB over TCP 445 tcp
    Kerberos kpasswd 464 tcp/udp
    LDAPS (only if "tls enabled = yes") 636 tcp
    Dynamic RPC Ports** 1024-5000 tcp
    Global Cataloge 3268 tcp
    Global Cataloge SSL (only if "tls enabled = yes") 3269 tcp
    Multicast DNS 5353 tcp/udp

    Y desde tu AD/DC desde shell ejecutar

    netstat -tulpn | egrep "samba|smbd|nmbd|winbind"
    

    Para ver los puertos que usa.

    Y testearia si desde una Lan a otra lan son accesibles esos puertos, si son accesibles es que el pfSense no es el impedimento a priori para el problema, y si no son accesibles, crea reglas para que lo sean esos puertos (con destino el AD/DC)

    Salu2

    ====

    add: Y en el pfSense crea un Domain Override en DNS resolver o forwarder (el que use) tal que

    midominio.com <–->  ip-lan-del-dc-ad



  • En resumen si es problemas por el bloadcast al estar en redes distintas.
    Solucion Coloca el dns y Wins de tu servidor en las maquinas que quieres agregar la dominio.
    con esto haras que nos busquen en tu red sino en la ip del servidor.
    No es un problema de pfsense, es algo de tu infraestructura y lo cual te hubiera parado con active directory privado de MS WIN (a mi me paso).

    @onai:

    Hola a todos, son nuevo y no se como crear una consulta, espero no estar cometiendo algún error, por favor discúlpenme si fuese el caso.

    Estuve buscando hace meses una solucion firewall , de active directory y correos, despues de leer varios foros entendi que para el active directory use zentyal y para el firewall use pfsense, entonces dije: manos a la obra! primero por separado virtualizando todo probé zentyal (correos desde la web y active directory) y se ajusto a mis necesidades para mi proyecto. Luego en otro escenario probe pfsense(el firewall y proxy) y se ajusto a mis necesidades.

    Cuando decidí juntar en una sola red zentyal y pfsense me tope con este problema. El zentyal esta en la vlan 100 y el cliente windows en la vlan 50 (vlan creada en pfsense), coloque 2 clientes windows7 (uno en la vlan 100 para probar si algo anda mal con el zentyal y otro en la vlan 50, el que deseo se una al dominio en el zentyal).

    El windows en la vlan 100 se unió sin problemas al dominio (estaban en la misma vlan que el servidor zentyal) , pero el cliente windows de la vlan 50 no logro unirse al dominio (deja colocar el usuario y la contraseña del dominio pero despues de estar cargando un rato arroja el siguiente error )

    "Error al intentar unirse al dominio midominio.com: el nombre de red especificado ya no esta disponible"

    Nota: El firewall en mi desesperacion a este problema solo para estar seguro de que no fue una regla que puse lo que causo el problema, decidi dejar las reglas: any any any any a la vlan 50 , vlan 100 y la LAN (por la interface de la lan cree la vlan 40,50,80 y 100). Pero el problema persiste.  :'(
    Probé con el comando nslookup y si resuelve el nombre de dominio direccionando al ip del servidor zentyal, tanto el cliente y el zentyal pueden hacer ping el uno al otro y los clientes tienen acceso a internet.

    Uso zentyal 4.2 y pfsense 2.2.6

    alguien ¿me podría guiar que estoy haciendo mal? se los agradecería mucho.


Log in to reply