मैं एक ग्राहक के लिए 1400 दूरस्थ साइटों में samba4 को तैनात करने के लिए एक परीक्षण वातावरण स्थापित कर रहा हूं और मैं एक समस्या में चल रहा हूं। यह मेरा काम है, आखिरकार, समस्याओं में भागना और फिर उन्हें हल करना।
सक्रिय निर्देशिका
- वन रूट और एकल डोमेन: main.adlab.netdirect.ca
- Windows 2008 R2 पर बनाया गया
- 2008 एफएफएल
- 2008 डीएफएल
मुख्य कार्यालय
- AD1: Windows 2008 R2 DC
- AD2: Windows 2008 R2 DC
- विंडोज 7 पेशेवर क्लाइंट
शाखा
- SLES11SP2 (पूरी तरह से अपडेटेड!) सांबा 4 के साथ (4.1.1-7.suse111 पैकेज सरनेट से)
- Samba 4 को RODC के रूप में कॉन्फ़िगर किया गया
मैंने RODC पर कुछ खातों को कैश करने की अनुमति देने के लिए एक पासवर्ड प्रतिकृति नीति को कॉन्फ़िगर किया है और फिर उन खातों को RODC को पॉप्युलेट किया है:
sles-shire:~ # samba-tool rodc preload 'win7-shire$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]
sles-shire:~ # samba-tool rodc preload 'win7-shire-2$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[1]
sles-shire:~ # samba-tool rodc preload 'bilbo' --server main.adlab.netdirect.ca
Replicating DN CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]
मुझे पता है कि RODC पर उन क्रेडेंशियल्स को कैश किया जा रहा है क्योंकि यदि मैं साइट लिंक को गिराता हूं तो मैं कैश्ड उपयोगकर्ता के साथ लॉग इन कर सकता हूं लेकिन एक अलग उपयोगकर्ता नहीं:
michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U michael
Enter michael's password:
session setup failed: NT_STATUS_IO_TIMEOUT
michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U bilbo
Enter bilbo's password:
Domain=[MAIN] OS=[Unix] Server=[Samba 4.1.1-SerNet-SuSE-7.suse111]
smb: \> ls
. D 0 Mon Nov 18 16:09:44 2013
.. D 0 Mon Nov 18 16:11:15 2013
main.adlab.netdirect.ca D 0 Wed Nov 20 17:54:13 2013
इसलिए प्रमाणीकरण ठीक काम कर रहा है! लेकिन जब मैं Windows 7 PC (WIN7-SHIRE) में कोशिश करता हूं और लॉग इन करता हूं तो मुझे त्रुटि मिलती है:
एक आंतरिक त्रुटि हुई है।
जी। धन्यवाद। अगर मुझे कोई गलत पासवर्ड मिलता है तो मैं:
यूजरनेम या पासवर्ड गलत है।
इसलिए प्रमाणीकरण हो रहा है, लेकिन विंडोज 7 कुछ पसंद नहीं करता है । मुझे इवेंट लॉग में ये त्रुटियां दिखाई देती हैं और मुझे लगता है कि वे इस समस्या के लिए प्रासंगिक हैं:
सुरक्षा प्रणाली ने सर्वर ldap / sles-shire.main.adlab.netdirect.ca के लिए एक प्रमाणीकरण त्रुटि का पता लगाया। प्रमाणीकरण प्रोटोकॉल Kerberos से विफलता कोड "एक आंतरिक त्रुटि हुई। (0xc00000e5)" थी।
सुरक्षा प्रणाली ने सर्वर DNS / sles-shire.main.adlab.netdirect.ca के लिए एक प्रमाणीकरण त्रुटि का पता लगाया। प्रमाणीकरण प्रोटोकॉल Kerberos से विफलता कोड "एक आंतरिक त्रुटि हुई। (0xc00000e5)" थी।
यदि मैं पहले से ही लॉग ऑन हूं और मुझे मिलने वाली नेटवर्क सेवाओं की कोशिश करें और उनका उपयोग करें:
सुरक्षा प्रणाली ने सर्वर cifs / sles-shire.main.adlab.netdirect.ca के लिए एक प्रमाणीकरण त्रुटि का पता लगाया। प्रमाणीकरण प्रोटोकॉल Kerberos से विफलता कोड "एक आंतरिक त्रुटि हुई। (0xc00000e5)" थी।
सर्वर पर मेरा krb5.conf:
[libdefaults]
default_realm = MAIN.ADLAB.NETDIRECT.CA
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
यहाँ असली किकर है:
व्यवहार तब भी होता है जब साइट लिंक ऊपर होता है । मैं RODC पर कैश नहीं किए गए खातों के साथ डोमेन पीसी में लॉग इन कर सकता हूं , लेकिन अगर वे RODC पर हैं तो मुझे वही त्रुटि मिलती है।
मैंने यह सुनिश्चित किया है कि AD DNS में सभी उपयुक्त SRV रिकॉर्ड यथावत हैं। मैंने शाखा कार्यालय में एक RODC भूमिका के लिए Windows 2008 R2 DC को बढ़ावा देकर इसे सुनिश्चित किया है और यह सुनिश्चित किया है कि सभी उपयुक्त DNS रिकॉर्ड Windows और सांबा RODC दोनों के लिए मौजूद हैं।
(कुछ को हाथ से जोड़ना आवश्यक था क्योंकि वे अभी तक सांबा द्वारा नहीं जोड़े गए हैं:
SRV _ldap._tcp.${SITE}._sites.DomainDnsZones.${DNSDOMAIN} ${HOSTNAME} 389
SRV _ldap._tcp.${SITE}._sites.ForestDnsZones.${DNSFOREST} ${HOSTNAME} 389
) (ब्रैकेट बंद करना होगा)
तो ... क्या टूट गया है और मैं इसे कैसे ठीक करूं?
SPN जानकारी
> dsquery * "CN=SLES-SHIRE,OU=Domain Controllers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
servicePrincipalName
ldap/SLES-SHIRE;
ldap/4116d553-d66b-4c8b-9a60-90380ac69c04._msdcs.main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
HOST/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
HOST/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
RestrictedKrbHost/SLES-SHIRE.main.adlab.netdirect.ca;
RestrictedKrbHost/SLES-SHIRE;
GC/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
HOST/SLES-SHIRE.main.adlab.netdirect.ca;HOST/SLES-SHIRE;
> dsquery * "CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
servicePrincipalName
TERMSRV/WIN7-SHIRE.main.adlab.netdirect.ca;
TERMSRV/WIN7-SHIRE;
RestrictedKrbHost/WIN7-SHIRE;
HOST/WIN7-SHIRE;
RestrictedKrbHost/WIN7-SHIRE.main.adlab.netdirect.ca;
HOST/WIN7-SHIRE.main.adlab.netdirect.ca;