ฉันกำลังตั้งค่าสภาพแวดล้อมการทดสอบสำหรับลูกค้าเกี่ยวกับการปรับใช้ samba4 ไปยังไซต์ระยะไกล 1,400 แห่งและฉันประสบปัญหา เป็นหน้าที่ของฉันที่จะต้องประสบปัญหาและแก้ไขปัญหาเหล่านั้น
Active Directory
- Forest root และโดเมนเดียว: main.adlab.netdirect.ca
- สร้างบน Windows 2008 R2
- 2551 FFL
- 2551 DFL
สำนักงานใหญ่
- AD1: Windows 2008 R2 DC
- AD2: Windows 2008 R2 DC
- ไคลเอนต์ Windows 7 Professional
สาขาสำนักงาน
- SLES11SP2 (อัปเดตเต็มที่แล้ว!) กับ Samba 4 (4.1.1-7.suse111 แพ็คเกจจาก sernet)
- Samba 4 กำหนดค่าเป็น RODC
ฉันได้กำหนดค่านโยบายการจำลองแบบรหัสผ่านเพื่ออนุญาตให้บัญชีบางอย่างถูกแคชใน RODC แล้วจึงเติมข้อมูลบัญชีเหล่านั้นให้กับ RODC:
sles-shire:~ # samba-tool rodc preload 'win7-shire$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]
sles-shire:~ # samba-tool rodc preload 'win7-shire-2$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[1]
sles-shire:~ # samba-tool rodc preload 'bilbo' --server main.adlab.netdirect.ca
Replicating DN CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]
ฉันรู้ว่าข้อมูลประจำตัวเหล่านั้นถูกแคชใน RODC เนื่องจากถ้าฉันวางลิงค์ของเว็บไซต์ฉันสามารถเข้าสู่ระบบด้วยผู้ใช้แคช แต่ไม่ใช่ผู้ใช้อื่น:
michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U michael
Enter michael's password:
session setup failed: NT_STATUS_IO_TIMEOUT
michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U bilbo
Enter bilbo's password:
Domain=[MAIN] OS=[Unix] Server=[Samba 4.1.1-SerNet-SuSE-7.suse111]
smb: \> ls
. D 0 Mon Nov 18 16:09:44 2013
.. D 0 Mon Nov 18 16:11:15 2013
main.adlab.netdirect.ca D 0 Wed Nov 20 17:54:13 2013
ดังนั้นการพิสูจน์ตัวตนจึงใช้งานได้ดี! แต่เมื่อฉันพยายามเข้าสู่ระบบ Windows 7 PC (Win7-SHIRE) ฉันได้รับข้อผิดพลาด:
เกิดข้อผิดพลาดภายใน
Gee ขอบคุณ หากฉันใช้รหัสผ่านไม่ถูกต้องฉันจะได้รับ:
ชื่อผู้ใช้หรือรหัสผ่านไม่ถูกต้อง
ดังนั้นการตรวจสอบที่เกิดขึ้น แต่ Windows 7 ไม่ชอบบางสิ่งบางอย่าง ฉันเห็นข้อผิดพลาดเหล่านี้ในบันทึกเหตุการณ์และฉันคิดว่าพวกเขาเกี่ยวข้องกับปัญหานี้:
ระบบรักษาความปลอดภัยตรวจพบข้อผิดพลาดการรับรองความถูกต้องสำหรับเซิร์ฟเวอร์ ldap / sles-shire.main.adlab.netdirect.ca รหัสความล้มเหลวจากโปรโตคอลการตรวจสอบความถูกต้อง Kerberos คือ "เกิดข้อผิดพลาดภายใน (0xc00000e5)"
ระบบรักษาความปลอดภัยตรวจพบข้อผิดพลาดการรับรองความถูกต้องสำหรับเซิร์ฟเวอร์ DNS / sles-shire.main.adlab.netdirect.ca รหัสความล้มเหลวจากโปรโตคอลการตรวจสอบความถูกต้อง Kerberos คือ "เกิดข้อผิดพลาดภายใน (0xc00000e5)"
ถ้าฉันเข้าสู่ระบบแล้วและลองใช้บริการเครือข่ายที่ฉันได้รับ:
ระบบรักษาความปลอดภัยตรวจพบข้อผิดพลาดการรับรองความถูกต้องสำหรับเซิร์ฟเวอร์ cifs / sles-shire.main.adlab.netdirect.ca รหัสความล้มเหลวจากโปรโตคอลการตรวจสอบความถูกต้อง Kerberos คือ "เกิดข้อผิดพลาดภายใน (0xc00000e5)"
krb5.conf ของฉันบนเซิร์ฟเวอร์:
[libdefaults]
default_realm = MAIN.ADLAB.NETDIRECT.CA
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
นี่คือนักเตะตัวจริง:
ลักษณะการทำงานยังคงเกิดขึ้นเมื่อการเชื่อมโยงเว็บไซต์ที่มีการขึ้น ฉันสามารถลงชื่อเข้าใช้พีซีของโดเมนด้วยบัญชีที่ไม่ได้ถูกแคชบน RODC แต่ถ้าพวกเขาอยู่บน RODC ฉันได้รับข้อผิดพลาดเดียวกัน
ฉันมั่นใจว่ามีการบันทึก SRV ที่เหมาะสมทั้งหมดใน AD DNS ไว้ ฉันแน่ใจแล้วโดยการส่งเสริม Windows 2008 R2 DC ในสำนักงานสาขาให้เป็นบทบาทของ RODC และรับรองว่าระเบียน DNS ที่เหมาะสมทั้งหมดนั้นมีอยู่สำหรับทั้ง Windows และ Samba RODC
(บางคนจำเป็นต้องเพิ่มด้วยมือเนื่องจากพวกเขายังไม่ได้เพิ่มด้วย samba:
SRV _ldap._tcp.${SITE}._sites.DomainDnsZones.${DNSDOMAIN} ${HOSTNAME} 389
SRV _ldap._tcp.${SITE}._sites.ForestDnsZones.${DNSFOREST} ${HOSTNAME} 389
) (ต้องปิดวงเล็บ)
ดังนั้น…มีอะไรเสียหายและฉันจะแก้ไขได้อย่างไร
ข้อมูล SPN
> dsquery * "CN=SLES-SHIRE,OU=Domain Controllers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
servicePrincipalName
ldap/SLES-SHIRE;
ldap/4116d553-d66b-4c8b-9a60-90380ac69c04._msdcs.main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
HOST/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
HOST/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
RestrictedKrbHost/SLES-SHIRE.main.adlab.netdirect.ca;
RestrictedKrbHost/SLES-SHIRE;
GC/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
HOST/SLES-SHIRE.main.adlab.netdirect.ca;HOST/SLES-SHIRE;
> dsquery * "CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
servicePrincipalName
TERMSRV/WIN7-SHIRE.main.adlab.netdirect.ca;
TERMSRV/WIN7-SHIRE;
RestrictedKrbHost/WIN7-SHIRE;
HOST/WIN7-SHIRE;
RestrictedKrbHost/WIN7-SHIRE.main.adlab.netdirect.ca;
HOST/WIN7-SHIRE.main.adlab.netdirect.ca;