VitorS7
(usa Ubuntu)
Enviado em 04/12/2025 - 20:35h
alexabolada escreveu:
Eu sou Alexa Bolada.
Trabalho no Viva o Linux.
O site foi criado por Fábio Berbert em novembro de 2002.
Resumo curto do problema.
Máquinas entraram no domínio.
Windows 7/8 conseguem logar.
Windows 10/11 exibem: "domínio não está disponível".
Causas mais prováveis.
DNS do cliente não apontando para o DC.
Tempo (Kerberos) entre cliente e DC fora de sincronia.
Firewall no DC bloqueando portas de AD.
Rede não ativa antes do logon (principalmente Wi?Fi).
Políticas de segurança do Windows 10/11 (LDAP/SMB signing ou políticas de espera de rede).
Verificações no servidor (Rocky Linux).
Cheque serviço do Samba.
# systemctl status samba
Veja logs do Samba.
# journalctl -u samba -b --no-pager | tail -n 200
Cheque portas de escuta essenciais.
# ss -ltnp | egrep ':53|:88|:135|:139|:389|:445|:464|:3268' || true
Cheque o firewall.
# firewall-cmd --list-all --zone=public
Liste regras permanentes.
# firewall-cmd --list-ports --permanent
Verifique DNS e registros SRV.
Use samba-tool.
# samba-tool dns query localhost your.domain A @ --zone=your.domain
Confirme usuários e domínio.
# samba-tool user list
Cheque hora no DC.
Kerberos falha se o clock estiver fora.
$ timedatectl status
Se usar chronyd.
# chronyc sources -v
Testes a partir do cliente Windows.
Verifique DNS.
Veja se o DNS do adaptador aponta para o IP do DC.
Execute no Windows:
(Windows)
nltest /dsgetdc:SEUDOMINIO
(Windows)
ipconfig /all
Observações para Windows 10/11.
Habilite "Always wait for the network at computer startup and logon" se os clientes não alcançam o DC antes do logon.
Checar se a máquina faz logon com Wi?Fi que só conecta após sessão do usuário.
Verificar políticas que exigem LDAP signing ou configurações de segurança que o Samba pode não suportar por padrão.
Outros pontos rápidos.
Confirme que o cliente usa o DNS do DC e não o DNS público.
Confirme que não há bloqueio de portas entre cliente e DC.
Veja logs do Samba durante tentativa de logon.
O que me envie se quiser.
Saída dos comandos acima.
Trechos relevantes dos logs do Samba.
Posso ajudar a interpretar.
O amigo Alex tinha toda razão.
O problema era justamente o DNS.
Porém para isso, criei novamente o dominio do zero para entender melhor a questão.
Detalhe mais que importante: Trabalho aqui apenas com uma interface de rede. Meu servidor por enquanto, não distribui IP (não é servidor dhcp).
Apresento duas soluções:
1 - Alterar o registro do Windows 10/11 para usar credenciais em cache ou cair em métodos legados (NTLM) mais permissivos, como nas versões anteriores:
Politicas de Segurança Local - Configurações de Segurança - Opções de Segurança - Segurança de rede: nível de autenticação LAN Manager - Enviar somente resposta NTLMv2 (Habilitado).
2 - Corrigir DNS aplicando as seguintes entradas nas zonas reversas e inversas
root@SRV01:/etc/bind# ls
db.192.168.1 db.aula.inet named.conf.default-zones rndc.key
db.192.168.2 db.example.local named.conf.local
db._msdcs.aula.inet named.conf named.conf.options
root@SRV01:/etc/bind# cat db.192.168.1
$TTL 604800
@ IN SOA ns1.example.local. admin.example.local. (
2
604800
86400
2419200
604800 )
@ IN NS ns1.example.local.
10 IN PTR ns1.example.local.
20 IN PTR
www.example.local.
30 IN PTR server.example.local.
root@SRV01:/etc/bind# cat db.aula.inet
$TTL 604800
@ IN SOA ns1.aula.inet. admin.aula.inet. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
; Servidores
@ IN NS ns1.aula.inet.
@ IN A 192.168.2.15
; Registros A
ns1 IN A 192.168.2.15
www IN A 192.168.2.15
server IN A 192.168.2.15
srv01 IN A 192.168.2.15
; Registro SRV para LDAP
_ldap._tcp 3600 IN SRV 0 5 389 ldap.aula.inet.
; Registro SRV para Kerberos
_kerberos._udp 3600 IN SRV 0 100 88 kerberos.pti.intra.
; Registro SRV LDAP Global Catalog manual
_ldap._tcp.gc 3600 IN SRV 0 100 3268 ldap.aula.inet.
; Registros SRV do AD
_ldap._tcp.dc._msdcs.aula.inet. IN SRV 0 100 389 srv01.aula.inet.
_ldap._tcp.gc._msdcs.aula.inet. IN SRV 0 100 389 srv01.aula.inet.
_gc._tcp.dc._msdcs.aula.inet. IN SRV 0 100 3268 srv01.aula.inet.
root@SRV01:/etc/bind# cat db._msdcs.aula.inet
$TTL 86400
@ IN SOA ns1.aula.inet. admin.aula.inet. (
2025112701 ; Serial (ano, mês, dia, versão)
3600 ; Refresh
1800 ; Retry
604800 ; Expire
86400 ; Minimum TTL
)
IN NS ns1.aula.inet.
; Registros SRV do AD
_ldap._tcp.dc._msdcs.aula.inet. IN SRV 0 100 389 srv01.aula.inet.
_ldap._tcp.gc._msdcs.aula.inet. IN SRV 0 100 389 srv01.aula.inet.
_gc._tcp.dc._msdcs.aula.inet. IN SRV 0 100 3268 srv01.aula.inet.
root@SRV01:/# cat /etc/resolv.conf
#nameserver 8.8.8.8
search aula.inet
nameserver 192.168.2.15
nameserver 192.168.2.1
root@SRV01:/#
root@SRV01:/# cat /etc/hosts
127.0.0.1 localhost
127.0.1.1 vitor-HP-240-G6-Notebook-PC
# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
192.168.2.15 srv01.aula.inet srv01
root@SRV01:/# hostname
SRV01
Forte abraço e muito obrigado aos que contribuiram.
