Os clientes Windows incapazes de acessar o compartilhamento Samba no AD se juntaram à caixa Linux a cada 7 dias

Question

Os clientes Windows incapazes de acessar o compartilhamento Samba no AD se juntaram à caixa Linux a cada 7 dias

#1 resposta do (1 votos)

3

O problema:

A cada 7 dias, 2 Windows Servers não conseguem acessar um compartilhamento SMB / CIFS. Ele começará a funcionar depois de algumas horas.

O ambiente:

Caixa OpenFiler Linux associada ao domínio do AD 2003

Aplicativo em primeiro plano no servidor Win2003 acessa o compartilhamento SMB / CIFS com credenciais do Windows Outro processo no Win2008 acessa o compartilhamento via SQL Server com credenciais do Windows A versão do Samba na caixa do Linux é 3.4.5. A segurança está definida para ADS wbinfo e getent retornam usuários e grupos esperados Não parece ser um problema de salto duplo, pois são sempre as duas contas, independentemente do usuário chamador. Há uma entrada DNS na zona de pesquisa direta e inversa para a caixa linux O objeto de computador da caixa linux no diretório ativo mostra que ele foi modificado em torno de / ao mesmo tempo em que os dois clientes começaram a falhar ao acessar o compartilhamento Tentando acessar o compartilhamento via IP funciona quando pelo nome não A reinicialização do servidor Windows cuida disso (é produção e só é reiniciada uma vez) Reiniciar smbd, winbind, nmbd não teve efeito Erro no log do samba para o cliente em questão: smbd / sesssetup.c: 342 (reply_spnego_kerberos) Falha ao verificar o ticket de entrada com erro NT_STATUS_LOGON_FAILURE!

A pergunta:

Parece que a senha da conta da máquina está mudando (daí o objeto AD mostrando a data de modificação atualizada) ou os dois clientes windows não conseguem solicitar uma nova permissão que funcione contra essa caixa de Linux?

windows samba active-directory kerberos linux

por Hassle2 08.11.2011 / 15:27

1 resposta

Tags windows samba active-directory kerberos linux

Monitorar o desempenho da rede de servidores VPN de diferentes locais Erro de codificação de conteúdo ao carregar um URL no navegador

score 1 · Answer 1

Verifique o atributo pwdLastSet no objeto do computador para verificar se a senha da conta da máquina foi alterada; Eu acho que é simplesmente uma atualização para algum outro atributo (digamos, lastLogonTimestamp ) que mudou.

Aposto que é um problema com a emissão de bilhetes do Kerberos no dispositivo OpenFiler; 7 dias é a duração máxima padrão no Active Directory, e o OpenFiler parece estar com falha ao obter com êxito um novo ticket nessa mensagem de erro.

Tente alterar a configuração da vida útil do ticket e veja se isso faz diferença. Na sua política de domínio padrão, Computador > Configurações do Windows > Segurança > Conta > Kerberos, a configuração "Duração máxima da renovação do ticket do usuário". Não tenho certeza do topo da minha cabeça, mas suspeito que uma reinicialização do serviço KDC seja necessária após a alteração.