Samba4'ü 1400 uzak siteye dağıtmak üzere bir müşteri için bir test ortamı oluşturuyorum ve bir sorunla karşılaşıyorum. Ne de olsa benim sorunumla karşılaşıp onları çözmek benim işim.
Active Directory
- orman kökü ve tek etki alanı: main.adlab.netdirect.ca
- Windows 2008 R2'de oluşturuldu
- 2008 FFL
- 2008 DFL
Ana ofis
- AD1: Windows 2008 R2 DC
- AD2: Windows 2008 R2 DC
- Windows 7 Professional istemcileri
Şube
- Samba 4 ile SLES11SP2 (tamamen güncellendi!) (Sernet 4.1.1-7.suse111 paketleri)
- Samba 4, RODC olarak yapılandırıldı
Belirli hesapların RODC'de önbelleğe alınmasına izin vermek için bir şifre çoğaltma ilkesi yapılandırdım ve daha sonra bu hesapları RODC'ye yerleştirdim:
sles-shire:~ # samba-tool rodc preload 'win7-shire$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]
sles-shire:~ # samba-tool rodc preload 'win7-shire-2$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[1]
sles-shire:~ # samba-tool rodc preload 'bilbo' --server main.adlab.netdirect.ca
Replicating DN CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]
Ben biliyorum bu kimlik bilgileri RODC edildiğini ben önbelleğe alınmış kullanıcı ancak farklı bir kullanıcı ile giriş ı giriş yapabilirsiniz site bağlantısını düşerse başlangıcı:
michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U michael
Enter michael's password:
session setup failed: NT_STATUS_IO_TIMEOUT
michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U bilbo
Enter bilbo's password:
Domain=[MAIN] OS=[Unix] Server=[Samba 4.1.1-SerNet-SuSE-7.suse111]
smb: \> ls
. D 0 Mon Nov 18 16:09:44 2013
.. D 0 Mon Nov 18 16:11:15 2013
main.adlab.netdirect.ca D 0 Wed Nov 20 17:54:13 2013
Yani kimlik doğrulaması iyi çalışıyor! Ancak Windows 7 PC'ye (WIN7-SHIRE) giriş yapmaya çalıştığımda hatayı alıyorum:
Dahili bir hata oluştu.
Gee. Teşekkürler. Yanlış bir şifre kullanırsam şunu elde ederim:
Kullanıcı adı veya şifre yanlış.
Kimlik doğrulama gerçekleşiyor, ancak Windows 7 bir şeyden hoşlanmıyor . Olay günlüklerinde bu hataları görüyorum ve bu sorunla ilgili olduklarını düşünüyorum:
Güvenlik Sistemi, ldap / sles-shire.main.adlab.netdirect.ca sunucusu için bir kimlik doğrulama hatası saptadı. Kimlik doğrulama protokolü Kerberos'un hata kodu "Dahili bir hata oluştu. (0xc00000e5)" idi.
Güvenlik Sistemi, DNS / sles-shire.main.adlab.netdirect.ca sunucusu için bir kimlik doğrulama hatası saptadı. Kimlik doğrulama protokolü Kerberos'un hata kodu "Dahili bir hata oluştu. (0xc00000e5)" idi.
Ben olsam zaten ve denemek ve kullanmak ağ hizmetleri oturum alıyorum:
Güvenlik Sistemi, sunucu cifs / sles-shire.main.adlab.netdirect.ca için bir kimlik doğrulama hatası saptadı. Kimlik doğrulama protokolü Kerberos'un hata kodu "Dahili bir hata oluştu. (0xc00000e5)" idi.
Sunucudaki krb5.conf dosyam:
[libdefaults]
default_realm = MAIN.ADLAB.NETDIRECT.CA
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
İşte gerçek vurucu:
Site bağlantı olduğunda davranış hala yukarı . Etki alanı PC'sinde RODC'de önbelleğe alınmamış hesaplarla oturum açabilirim, ancak RODC'de ise aynı hatayı alıyorum.
AD DNS'deki tüm uygun SRV kayıtlarının yerinde olmasını sağladım. Şube ofisindeki bir Windows 2008 R2 DC'yi RODC rolüne yükselterek ve hem Windows hem de Samba RODC için uygun tüm DNS kayıtlarının bulunmasını sağlayarak bunu sağladım.
(bazıları samba tarafından eklenmedikleri için elle eklemek gerekiyordu:
SRV _ldap._tcp.${SITE}._sites.DomainDnsZones.${DNSDOMAIN} ${HOSTNAME} 389
SRV _ldap._tcp.${SITE}._sites.ForestDnsZones.${DNSFOREST} ${HOSTNAME} 389
) (braketi kapatmalıdır)
Peki… ne kırıldı ve nasıl düzeltebilirim?
SPN bilgisi
> dsquery * "CN=SLES-SHIRE,OU=Domain Controllers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
servicePrincipalName
ldap/SLES-SHIRE;
ldap/4116d553-d66b-4c8b-9a60-90380ac69c04._msdcs.main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
HOST/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
HOST/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
RestrictedKrbHost/SLES-SHIRE.main.adlab.netdirect.ca;
RestrictedKrbHost/SLES-SHIRE;
GC/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
HOST/SLES-SHIRE.main.adlab.netdirect.ca;HOST/SLES-SHIRE;
> dsquery * "CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
servicePrincipalName
TERMSRV/WIN7-SHIRE.main.adlab.netdirect.ca;
TERMSRV/WIN7-SHIRE;
RestrictedKrbHost/WIN7-SHIRE;
HOST/WIN7-SHIRE;
RestrictedKrbHost/WIN7-SHIRE.main.adlab.netdirect.ca;
HOST/WIN7-SHIRE.main.adlab.netdirect.ca;