В связи с выпуском обновлений безопасности для Windows Server, в которых устранены уязвимости в реализации контроллера домена Active Directory, могут возникнуть проблемы совместимости с версиями Samba ниже 4.21.7.
В рамках обновлений, выпущенных 8 июля 2025 года, во всех поддерживаемых версиях Windows Server (включая Windows Server 2008) были внесены изменения в протокол Microsoft RPC Netlogon. Они связаны с введением дополнительных проверок доступа к определённым RPC-вызовам.
Ранее такие расширенные проверки применялись только в Windows Server 2025, но с указанной даты они активированы и в более ранних версиях.
Данные изменения нарушают совместимость с Samba и приводят к сбоям при выполнении запросов обнаружения контроллера домена (Netlogon DC Discovery) через сервис winbind.
В результате:
пользователи домена не смогут аутентифицироваться;
доступ к SMB-ресурсам, работающим на базе Samba с бэкендом idmap_ad (или winbind с ad), будет недоступен.
Проблема затрагивает Samba-серверы, настроенные как члены домена Windows Active Directory с использованием idmap backend = ad.
Предполагается, что данные обновления могут повлиять на работоспособность доверительных отношений между MS AD и Samba AD. Это может привести к нарушению междоменной аутентификации и доступа к ресурсам.
Для устранения проблемы выпущены обновлённые версии Samba:
Samba 4.22.3
Samba 4.21.7
Эти версии содержат исправления, обеспечивающие совместимость с обновлённым протоколом Netlogon.
Без установки этих обновлений Samba-серверы не смогут функционировать в доменах Windows Active Directory, если используется бэкенд ad для маппинга идентификаторов пользователей (idmap_ad).
Рекомендуется отложить установку обновлений Windows Server до тех пор, пока:
Это позволит избежать потери доступа к доменным ресурсам и сбоев аутентификации.
