Tôi đang thiết lập môi trường thử nghiệm cho một khách hàng sắp triển khai samba4 vào 1400 trang web từ xa và tôi đang gặp vấn đề. Rốt cuộc, đó là công việc của tôi, gặp vấn đề và sau đó giải quyết chúng.
Thư mục hoạt động
- gốc rừng & tên miền duy nhất: main.adlab.netdirect.ca
- được tạo trên Windows 2008 R2
- FFL 2008
- DFL 2008
Văn phòng Chính
- AD1: Windows 2008 R2 DC
- AD2: Windows 2008 R2 DC
- Máy khách chuyên nghiệp Windows 7
Văn phòng chi nhánh
- SLES11SP2 (cập nhật đầy đủ!) Với các gói Samba 4 (4.1.1-7.suse111 từ sernet)
- Samba 4 được cấu hình là RODC
Tôi đã định cấu hình chính sách sao chép mật khẩu để cho phép một số tài khoản được lưu trong bộ nhớ cache trên RODC và sau đó đưa các tài khoản đó vào RODC:
sles-shire:~ # samba-tool rodc preload 'win7-shire$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]
sles-shire:~ # samba-tool rodc preload 'win7-shire-2$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[1]
sles-shire:~ # samba-tool rodc preload 'bilbo' --server main.adlab.netdirect.ca
Replicating DN CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]
Tôi biết rằng những thông tin đăng nhập đó đang được lưu trong bộ nhớ cache trên RODC vì nếu tôi bỏ liên kết trang web, tôi có thể đăng nhập với một người dùng được lưu trong bộ nhớ cache nhưng không phải là một người dùng khác:
michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U michael
Enter michael's password:
session setup failed: NT_STATUS_IO_TIMEOUT
michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U bilbo
Enter bilbo's password:
Domain=[MAIN] OS=[Unix] Server=[Samba 4.1.1-SerNet-SuSE-7.suse111]
smb: \> ls
. D 0 Mon Nov 18 16:09:44 2013
.. D 0 Mon Nov 18 16:11:15 2013
main.adlab.netdirect.ca D 0 Wed Nov 20 17:54:13 2013
Vì vậy, xác thực là hoạt động tốt! Nhưng khi tôi thử và đăng nhập vào PC Windows 7 (WIN7-SHIRE), tôi gặp lỗi:
Đã xảy ra một lỗi nội bộ.
Trời ạ. Cảm ơn. Nếu tôi sử dụng mật khẩu không chính xác, tôi nhận được:
Tên người dùng hoặc mật khẩu không chính xác.
Vì vậy, xác thực đang xảy ra, nhưng Windows 7 không thích cái gì đó . Tôi thấy những lỗi này trong nhật ký sự kiện và tôi nghĩ chúng có liên quan đến vấn đề này:
Hệ thống bảo mật đã phát hiện lỗi xác thực cho máy chủ ldap / sles-shire.main.adlab.netdirect.ca. Mã lỗi từ giao thức xác thực Kerberos là "Xảy ra lỗi nội bộ. (0xc00000e5)".
Hệ thống bảo mật đã phát hiện lỗi xác thực cho máy chủ DNS / sles-shire.main.adlab.netdirect.ca. Mã lỗi từ giao thức xác thực Kerberos là "Xảy ra lỗi nội bộ. (0xc00000e5)".
Nếu tôi đã đăng nhập và thử và sử dụng các dịch vụ mạng, tôi nhận được:
Hệ thống bảo mật đã phát hiện lỗi xác thực cho máy chủ cifs / sles-shire.main.adlab.netdirect.ca. Mã lỗi từ giao thức xác thực Kerberos là "Xảy ra lỗi nội bộ. (0xc00000e5)".
Krb5.conf của tôi trên máy chủ:
[libdefaults]
default_realm = MAIN.ADLAB.NETDIRECT.CA
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
Đây là kicker thực sự:
Các hành vi vẫn xảy ra khi liên kết trang web lên . Tôi có thể đăng nhập vào PC miền với các tài khoản không được lưu trong bộ nhớ cache trên RODC, nhưng nếu chúng nằm trên RODC thì tôi cũng gặp lỗi tương tự.
Tôi đã đảm bảo rằng tất cả các bản ghi SRV thích hợp trong AD DNS đều được đặt đúng chỗ. Tôi đã đảm bảo điều này bằng cách quảng cáo Windows 2008 R2 DC trong văn phòng chi nhánh lên vai trò RODC và đảm bảo rằng tất cả các bản ghi DNS thích hợp đều có mặt cho cả RODC của Windows và Samba.
(một số cần thiết phải thêm bằng tay vì chúng chưa được thêm bởi samba:
SRV _ldap._tcp.${SITE}._sites.DomainDnsZones.${DNSDOMAIN} ${HOSTNAME} 389
SRV _ldap._tcp.${SITE}._sites.ForestDnsZones.${DNSFOREST} ${HOSTNAME} 389
) (phải đóng khung)
Vì vậy, những gì bị hỏng và làm thế nào để tôi sửa chữa nó?
Thông tin SPN
> dsquery * "CN=SLES-SHIRE,OU=Domain Controllers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
servicePrincipalName
ldap/SLES-SHIRE;
ldap/4116d553-d66b-4c8b-9a60-90380ac69c04._msdcs.main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
HOST/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
HOST/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
RestrictedKrbHost/SLES-SHIRE.main.adlab.netdirect.ca;
RestrictedKrbHost/SLES-SHIRE;
GC/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
HOST/SLES-SHIRE.main.adlab.netdirect.ca;HOST/SLES-SHIRE;
> dsquery * "CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
servicePrincipalName
TERMSRV/WIN7-SHIRE.main.adlab.netdirect.ca;
TERMSRV/WIN7-SHIRE;
RestrictedKrbHost/WIN7-SHIRE;
HOST/WIN7-SHIRE;
RestrictedKrbHost/WIN7-SHIRE.main.adlab.netdirect.ca;
HOST/WIN7-SHIRE.main.adlab.netdirect.ca;