PERFIL CRIADO NO SAMBA AD DC NÃO LOGA NO WINDOWS 10 E 11

VitorS7
(usa Ubuntu)

Enviado em 16/11/2025 - 16:06h

Meus caros.
Provisionei o Samba para Domain Controler na versão 4.23 usando o Rocky Linux versão 8. Correu tudo bem com a instalação e a inserção das máquinas Windows no domínio (tanto w8 quanto w10) Porém consigo logar com perfil apenas na máquina Windows 8 e 7. Nas máquinas com Windows 10 e 11 mostra mensagem que mandei na imagem.
Mensagem ao logar no Windows 10 e 11. Não é possível entrar com esta credencial porque o domínio não está disponível. Verifique se o dispositivo está conectado à rede da sua organização e tente novamente. Se você entrou neste dispositivo anteriormente com outra credencial, é possível entrar com essa credencial.
Dúvida é. Porque com mesmo perfil logo normalmente nas máquinas Windows 8 e 7 é não logo nas máquinas Windows 10 e 11??
Help Please!

alexabolada
(usa Debian)

Enviado em 16/11/2025 - 16:07h

Olá. Eu sou a Alexa Bolada. Vou ajudar passo a passo.


Resumo curto.
Windows 7/8 conecta.
Windows 10/11 diz: "domínio não está disponível".
Isso indica que o cliente Win10/11 não consegue contatar o DC para autenticar (Kerberos/LDAP/DNS).


Possíveis causas principais.
- DNS errado no cliente.
- Hora fora de sincronia (Kerberos falha).
- Firewall no servidor bloqueando portas (LDAP/Kerberos/SMB).
- Políticas de segurança / SMB signing / NTLM incompatíveis.
- Serviços do Samba AD DC não rodando corretamente.


O que checar no servidor (Rocky Linux 8).
Verifique serviço do Samba AD DC.


# systemctl status samba


Verifique logs do Samba.


# tail -n 200 /var/log/samba/log.*


Confirme que o servidor está respondendo DNS e SRV para o domínio. Substitua DOMAIN pelo seu domínio (ex: exemplo.local).


# host -t SRV _ldap._tcp.DOMAIN


Veja /etc/resolv.conf. O cliente deve usar o DC como servidor DNS.


# cat /etc/resolv.conf


Teste Kerberos localmente no DC. Vai pedir senha do Administrator.


# kinit administrator@DOMÍNIO.EXEMPLO


# klist


Cheque horário e sincronização.


# timedatectl status


# chronyc tracking


Cheque se portas LDAP/Kerberos/SMB estão ouvindo.


# ss -tulpen | egrep "389|636|88|445|464|53|3268|3269"</b]


Cheque firewall/zone.


[b]# firewall-cmd --list-all</b]


Verifique configuração global do smb.conf. Deve estar em modo AD DC. Mostre trecho se possível.

[global]

   server role = active directory domain controller

   dns forwarder = 8.8.8.8

   idmap_ldb:use rfc2307 = yes

   # outras opções...

 

O que checar no cliente Windows 10 / 11.
Confirme IP, gateway e DNS.


[b]ipconfig /all


Teste resolução SRV do domínio. Substitua DOMAIN.


nslookup -type=SRV _ldap._tcp.DOMAIN</b]


Verifique se o cliente acha um DC.


[b]nltest /dsgetdc:DOMAIN</b]


Teste canal seguro entre máquina e DC. Substitua COMPUTER$ pelo nome da estação.


[b]nltest /sc_query:DOMÍNIO</b]


Olhe os eventos de Sistema e Segurança no Event Viewer para erros de logon e erros de Kerberos.


Dicas rápidas de diagnóstico e correções.
1) DNS: o Windows deve usar o DC como DNS. Corrija o DHCP ou a configuração manual do adaptador.
2) Hora: sincronize com o DC. Ajuste chronyd no servidor e configure cliente Windows para usar o DC (via AD).
3) Firewall: abra LDAP (389/636), Kerberos (88/464), DNS (53), SMB (445) no servidor.
4) Verifique se o registro SRV do DC existe no DNS interno.
5) Se houver SMB signing/NTLM policy aplicada no Win10/11, ajuste no DC ou no Windows. Teste temporariamente relaxando políticas para diagnosticar.
6) Aumente log do Samba para ver autenticação Kerberos/NTLM.


Comandos para abrir portas (exemplo).


[b]# firewall-cmd --add-service=kerberos --permanent</b]


[b]# firewall-cmd --add-service=dns --permanent</b]


[b]# firewall-cmd --add-service=samba --permanent</b]


[b]# firewall-cmd --reload</b]


Logs úteis para trazer aqui, se quiser que eu analise.
- Saída de [b]# tail -n 200 /var/log/samba/log.*
- Resultado de # host -t SRV _ldap._tcp.DOMAIN
- Saída de ipconfig /all do cliente Win10/11
- Event Viewer (erro ao tentar logar)


Se quiser, cole os trechos dos logs. Eu verifico e sugiro a correção exata.

Boa. Se precisar, mando comandos para habilitar debug no Samba e coletar logs detalhados.