Tempo limite aleatório de conexão SSH na primeira tentativa de servidores CentOS

1

Tenho um problema curioso com o SSH no CentOS 6 e ainda não encontrei uma solução.

Temos todos os nossos servidores CentOS 6 unidos a um domínio do Active Directory 2012 R2 usando o Winbind. Ele não é usado para compartilhamento de arquivos, mas para logon único e acesso de grupo. Na maioria das vezes, uma conexão SSH inicial funciona usando Ansible ou Putty. Isso pode ser baseado em chave ou usando senhas. No entanto, às vezes, não conseguimos fazer o login e a conexão será interrompida. Isso não parece ter como alvo nenhum servidor, mas acontece aleatoriamente em todo o ambiente. Todos os servidores são corrigidos e reinicializados para as mesmas atualizações a cada mês, portanto, todos executam as mesmas versões em todos os lugares.

Eu tentei algumas das respostas óbvias que encontrei relacionadas a isso.

  • Defina "UseDNS no", "AddressFamily inet" e "GSSAPIAuthentication no" em / etc / ssh / sshd_config. Nenhuma mudança no comportamento.
  • Defina "LogLevel DEBUG2" em / etc / ssh / sshd_config. Não vejo nenhum aviso ou erro na saída.
  • Defina "opções single-request-reopen" em /etc/resolv.conf. Nenhuma mudança no comportamento.
  • Para Winbind, "wbinfo -u", "wbinfo -g", "senha getent", etc, tudo funciona muito bem.
  • Tentei aumentar a verbosidade da saída do Samba, mas não encontrei nada nos logs que me apontassem na direção certa.
  • Assista os logs de eventos do Windows nos controladores de domínio e não veja nada aparecendo lá também.

Antes do Windows 2012 R2, o domínio era o Windows 2008 e tivemos o mesmo problema. Os usuários no AD possuem todos os atributos adequados do UNIX.

Usando o Putty, experimentamos o mesmo problema de quando usamos o Ansible. O servidor Ansible está na mesma LAN que todos os servidores. DNS reverso funciona muito bem, todos os servidores são pingáveis. Os serviços no servidor estão sempre respondendo. É só que a primeira conexão às vezes não funciona. Nenhum prompt é mostrado. É quase como se o SSH estivesse "dormindo". Tornou-se mais um incômodo com Ansible e tentando automatizar várias coisas.

Não sei como solucionar isso ainda mais.

Alguém tem uma sugestão que possa ser útil? Postar minhas configurações, caso elas sejam úteis.

/etc/samba/smb.conf

[global]
    workgroup = COMPANY
    netbios name = SERVER01
    password server = dc01.company.local dc02.company.local
    realm = COMPANY.LOCAL
    security = ads
    smb encrypt = yes
    template shell = /bin/bash
    template homedir = /home/%U
    winbind nss info = rfc2307
    winbind use default domain = true
    winbind offline logon = false
    winbind enum users = yes
    winbind enum groups = yes
    idmap config *:backend = tdb
    idmap config *:range = 1000000-1999999
    idmap config COMPANY:backend = ad
    idmap config COMPANY:default = yes
    idmap config COMPANY:range = 2048-999999
    idmap config COMPANY:schema_mode = rfc2307
    server string = Samba Server
    log file = /var/log/samba/log.%m
    max log size = 5000
    log level = 4
    passdb backend = tdbsam
    load printers = no
    printcap name = /dev/null
    disable spoolss = yes
[homes]
    comment = Home Directories
    browseable = no
    writable = no

/ etc / ssh / sshd_config

AddressFamily inet
Protocol 2
SyslogFacility LOCAL6
LogLevel DEBUG3
LoginGraceTime 60
PermitRootLogin no
PermitEmptyPasswords no
PasswordAuthentication yes
ChallengeResponseAuthentication no
GSSAPIAuthentication no
UsePAM yes
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
X11Forwarding no
UseDNS no
Banner /etc/ssh/sshd-banner
Subsystem       sftp    /usr/libexec/openssh/sftp-server
AllowGroups linuxadmins otheradmin 
MACS hmac-sha2-256,hmac-sha1,hmac-sha2-512

Obrigado!

Atualizar

Todos os servidores e controladores de domínio CentOS estão apontados para os servidores NTP, de modo que o tempo é sincronizado em tudo.

    
por titleistfour 22.02.2016 / 21:33

0 respostas