1400 원격 사이트에 samba4를 배포하려는 고객을위한 테스트 환경을 설정하고 있는데 문제가 발생했습니다. 결국 문제가 생겨 문제를 해결하는 것이 저의 일입니다.
액티브 디렉토리
- 포리스트 루트 및 단일 도메인 : main.adlab.netdirect.ca
- Windows 2008 R2에서 생성
- 2008 년 FFL
- 2008 년 DFL
본사
- AD1 : Windows 2008 R2 DC
- AD2 : Windows 2008 R2 DC
- Windows 7 Professional 클라이언트
지점
- Samba 4 (Sernet의 4.1.1-7.suse111 패키지)가 포함 된 SLES11SP2 (완전히 업데이트되었습니다!)
- RODC로 구성된 Samba 4
특정 계정을 RODC에 캐시 할 수 있도록 암호 복제 정책을 구성한 다음 해당 계정을 RODC에 채 웁니다.
sles-shire:~ # samba-tool rodc preload 'win7-shire$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]
sles-shire:~ # samba-tool rodc preload 'win7-shire-2$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[1]
sles-shire:~ # samba-tool rodc preload 'bilbo' --server main.adlab.netdirect.ca
Replicating DN CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]
내가 아는 그 자격 증명이 RODC에 캐시되고 있음을 나는 캐시 된 사용자가 아닌 다른 사용자와 내가이 로그인 할 수있는 사이트 링크를 삭제하면 가입일 :
michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U michael
Enter michael's password:
session setup failed: NT_STATUS_IO_TIMEOUT
michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U bilbo
Enter bilbo's password:
Domain=[MAIN] OS=[Unix] Server=[Samba 4.1.1-SerNet-SuSE-7.suse111]
smb: \> ls
. D 0 Mon Nov 18 16:09:44 2013
.. D 0 Mon Nov 18 16:11:15 2013
main.adlab.netdirect.ca D 0 Wed Nov 20 17:54:13 2013
인증이 제대로 작동하고 있습니다! 그러나 Windows 7 PC (WIN7-SHIRE)에 로그인하려고하면 오류가 발생합니다.
내부 오류가 발생했습니다.
사람. 감사. 잘못된 비밀번호를 사용하면 다음과 같은 결과가 나타납니다.
사용자 이름 또는 비밀번호가 올바르지 않습니다.
따라서 인증이 이루어지고 있지만 Windows 7은 무언가를 좋아하지 않습니다 . 이벤트 로그에 이러한 오류가 표시되며이 문제와 관련이 있다고 생각합니다.
보안 시스템이 서버 ldap / sles-shire.main.adlab.netdirect.ca에 대한 인증 오류를 감지했습니다. 인증 프로토콜 Kerberos의 실패 코드는 "내부 오류가 발생했습니다. (0xc00000e5)"입니다.
보안 시스템이 서버 DNS / sles-shire.main.adlab.netdirect.ca에 대한 인증 오류를 감지했습니다. 인증 프로토콜 Kerberos의 실패 코드는 "내부 오류가 발생했습니다. (0xc00000e5)"입니다.
내가있어 경우 이미 시도 및 사용 네트워크 서비스에 로그온 내가 얻을 :
보안 시스템이 서버 cifs / sles-shire.main.adlab.netdirect.ca에 대한 인증 오류를 감지했습니다. 인증 프로토콜 Kerberos의 실패 코드는 "내부 오류가 발생했습니다. (0xc00000e5)"입니다.
서버의 krb5.conf :
[libdefaults]
default_realm = MAIN.ADLAB.NETDIRECT.CA
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
실제 키커는 다음과 같습니다.
사이트 링크가 작동 할 때 여전히 동작이 발생 합니다 . RODC에 캐시 되지 않은 계정으로 도메인 PC에 로그인 할 수 있지만 RODC에있는 경우 동일한 오류가 발생합니다.
AD DNS에 적절한 SRV 레코드가 모두 있는지 확인했습니다. 지점의 Windows 2008 R2 DC를 RODC 역할로 승격시키고 Windows 및 Samba RODC 모두에 대해 모든 적절한 DNS 레코드가 있는지 확인함으로써이를 보장했습니다.
(일부는 삼바에서 아직 추가하지 않았으므로 직접 추가해야했습니다.
SRV _ldap._tcp.${SITE}._sites.DomainDnsZones.${DNSDOMAIN} ${HOSTNAME} 389
SRV _ldap._tcp.${SITE}._sites.ForestDnsZones.${DNSFOREST} ${HOSTNAME} 389
) (브래킷 닫기)
그래서… 무엇이 고장 났으며 어떻게 고쳐야합니까?
SPN 정보
> dsquery * "CN=SLES-SHIRE,OU=Domain Controllers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
servicePrincipalName
ldap/SLES-SHIRE;
ldap/4116d553-d66b-4c8b-9a60-90380ac69c04._msdcs.main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
HOST/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
HOST/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
RestrictedKrbHost/SLES-SHIRE.main.adlab.netdirect.ca;
RestrictedKrbHost/SLES-SHIRE;
GC/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
HOST/SLES-SHIRE.main.adlab.netdirect.ca;HOST/SLES-SHIRE;
> dsquery * "CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
servicePrincipalName
TERMSRV/WIN7-SHIRE.main.adlab.netdirect.ca;
TERMSRV/WIN7-SHIRE;
RestrictedKrbHost/WIN7-SHIRE;
HOST/WIN7-SHIRE;
RestrictedKrbHost/WIN7-SHIRE.main.adlab.netdirect.ca;
HOST/WIN7-SHIRE.main.adlab.netdirect.ca;