fis*_*isk 5 samba nas active-directory qnap
我们有一台已加入域的 TS809U。共享和访问权限对域用户来说是应该的,一切都是应该的。但是几周/一个月后,域用户和组从 TS809 中消失,我必须再次手动重新加入域。重新加入域后,该过程在同一时间范围内重复,我必须再次重新加入域。
Web界面的日志没有错误,显示NAS成功加入域。我将 TS809U 更新到最新的固件 4.0.3(从 3.x),希望这能解决它,但问题仍然存在。
有没有人遇到过这个问题,可能是什么问题,或者如何进一步排除故障?
我能够在事件查看器中找到的唯一一条引用 NAS 的消息是 5722,它可能指向以下评论的方向:
来自计算机的会话设置
NASC473CD未能通过身份验证。安全数据库中引用的帐户名称是NASC473CD$。
发生以下错误:
访问被拒绝。
条目消失和重新出现之间的时间似乎是 14 天。我们的域(仍然)基于 Windows Server 2003。
更新:问题再次浮出水面,但日志并没有真正显示出任何有趣的东西。wbinfo -t(测试信任秘密)没有奏效,(不出所料)wbinfo -c(改变信任秘密)也没有奏效。确实发现当前的kerberos5票据库没有刷新,kerberos票据的有效期已经过期,可能是连接的。我现在已经添加/sbin/update_krb5_ticket到 crontab 中,看看这是否有帮助(现在每小时刷新一次)。
还是没有成功。log.wb-DOMAINNAME显示我们显然被拒绝访问,可能是因为凭据超时或机密信息无效。不确定如何进行,因为 kerberos 票证列表 ( klist) 在发生时显示了有效票证。
log.wb-DOMAINNAME显示:
[2014/02/25 03:05:20.545176, 3] winbindd/winbindd_pam.c:1902(winbindd_dual_pam_auth_crap)
could not open handle to NETLOGON pipe (error: NT_STATUS_ACCESS_DENIED)
[2014/02/25 03:05:20.545198, 2] winbindd/winbindd_pam.c:2003(winbindd_dual_pam_auth_crap)
NTLM CRAP authentication for user [DOMAINNAME]\[MACHINE$] returned NT_STATUS_ACCESS_DENIED (PAM: 4)
[2014/02/25 03:05:20.548424, 3] winbindd/winbindd_pam.c:1841(winbindd_dual_pam_auth_crap)
[20497]: pam auth crap domain: DOMAINNAME user: MACHINE$
(在引用用户时会出现相同的错误消息)。据我所知,至少问题似乎是服务器ACCESS_DENIED在 samba 尝试使用NETLOGON资源时做出响应。然而,我确实发现 TS809 上的一个 DNS 服务器被设置为外部服务器 - 而不是域中的服务器。我已将 DNS 服务器更新为都指向我们的 AD DC,以查看是否可能是原因(如果它落到外部,它将找不到主机,而不是内部基于域的主机超时) .
我们仍然没有接近确定一个持久的解决方案,但我们目前每周都会看到超时。这似乎与有效的 kerberos 票证在同一时间,但我找不到任何更改它的设置。
然而,我创建了一个小脚本来检查我们是否从域中丢失了用户列表,并在需要时重新加入服务器。(使用 Samba 的net rpc join命令。)“用户名”是域中有权将计算机加入域的用户(我们为此仅为 qnap 创建了一个用户):
COUNT=`wbinfo -g | grep DOMAINNAME | wc -l`
if [ "$COUNT" -lt "1" ]
then
/usr/local/samba/bin/net rpc join -Uusername%password
fi
该脚本在带有 cron 的 qnap 上运行(在 Google 上搜索 qnap cron 以了解如何正确设置 cron)。这在过去几个月中运作良好。
小智 0
对我来说,机器帐户密码似乎有问题。根据 2k3 域的设计,重置每 30 天生成一次,但客户端可以随时触发计算机帐户密码的重置。
通常,成员首先创建新密码,然后将其拉至 DC。
无论出于何种原因,您的 qnap 似乎会在两周后生成新密码,但由于安全通道损坏而无法将其推送到 DC。
我不知道qnap提供的功能,可以通过ssh登录吗?我认为这是一个基于unix的系统?!也许有一个选项可以禁用计算机帐户密码。30 天后,信托不会停止运作。
也许有趣:链接集合:
| 归档时间: |
|
| 查看次数: |
7947 次 |
| 最近记录: |