Saya menyiapkan lingkungan pengujian untuk pelanggan yang akan menyebarkan samba4 ke 1400 situs jarak jauh dan saya mengalami masalah. Lagipula, itu tugas saya untuk mengalami masalah dan menyelesaikannya.
Direktori Aktif
- root hutan & domain tunggal: main.adlab.netdirect.ca
- dibuat pada Windows 2008 R2
- FFL 2008
- DFL 2008
Kantor pusat
- AD1: Windows 2008 R2 DC
- AD2: Windows 2008 R2 DC
- Klien Windows 7 Professional
Kantor cabang
- SLES11SP2 (sepenuhnya diperbarui!) Dengan Samba 4 (4.1.1-7.suse111 paket dari sernet)
- Samba 4 dikonfigurasi sebagai RODC
Saya telah mengonfigurasi kebijakan replikasi kata sandi untuk memungkinkan akun tertentu di-cache di RODC dan kemudian mengisi akun-akun itu ke RODC:
sles-shire:~ # samba-tool rodc preload 'win7-shire$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]
sles-shire:~ # samba-tool rodc preload 'win7-shire-2$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[1]
sles-shire:~ # samba-tool rodc preload 'bilbo' --server main.adlab.netdirect.ca
Replicating DN CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]
Saya tahu bahwa kredensial itu sedang di-cache di RODC karena jika saya menjatuhkan tautan situs saya bisa masuk dengan pengguna yang di-cache tetapi bukan pengguna yang berbeda:
michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U michael
Enter michael's password:
session setup failed: NT_STATUS_IO_TIMEOUT
michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U bilbo
Enter bilbo's password:
Domain=[MAIN] OS=[Unix] Server=[Samba 4.1.1-SerNet-SuSE-7.suse111]
smb: \> ls
. D 0 Mon Nov 18 16:09:44 2013
.. D 0 Mon Nov 18 16:11:15 2013
main.adlab.netdirect.ca D 0 Wed Nov 20 17:54:13 2013
Jadi otentikasi berfungsi dengan baik! Tetapi ketika saya mencoba dan masuk ke PC Windows 7 (WIN7-SHIRE) saya mendapatkan kesalahan:
Kesalahan internal telah terjadi.
Wah. Terima kasih. Jika saya menggunakan kata sandi yang salah saya dapatkan:
Nama pengguna atau kata sandi salah.
Jadi otentikasi sedang terjadi, tetapi Windows 7 tidak menyukai sesuatu . Saya melihat kesalahan ini di log peristiwa dan saya pikir mereka relevan dengan masalah ini:
Sistem Keamanan mendeteksi kesalahan otentikasi untuk server ldap / sles-shire.main.adlab.netdirect.ca. Kode kegagalan dari protokol otentikasi Kerberos adalah "Terjadi kesalahan internal. (0xc00000e5)".
Sistem Keamanan mendeteksi kesalahan otentikasi untuk DNS server / sles-shire.main.adlab.netdirect.ca. Kode kegagalan dari protokol otentikasi Kerberos adalah "Terjadi kesalahan internal. (0xc00000e5)".
Jika saya sudah masuk dan mencoba dan menggunakan layanan jaringan saya mendapatkan:
Sistem Keamanan mendeteksi kesalahan otentikasi untuk cifs / sles-shire.main.adlab.netdirect.ca server. Kode kegagalan dari protokol otentikasi Kerberos adalah "Terjadi kesalahan internal. (0xc00000e5)".
Krb5.conf saya di server:
[libdefaults]
default_realm = MAIN.ADLAB.NETDIRECT.CA
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
Inilah kicker yang sebenarnya:
Perilaku masih terjadi saat tautan situs habis . Saya bisa masuk ke PC domain dengan akun yang tidak di- cache di RODC, tetapi jika mereka berada di RODC saya mendapatkan kesalahan yang sama.
Saya telah memastikan bahwa semua catatan SRV yang sesuai dalam DNS AD sudah tersedia. Saya telah memastikan ini dengan mempromosikan Windows 2008 R2 DC di kantor cabang ke peran RODC dan memastikan bahwa semua catatan DNS yang sesuai ada untuk Windows dan Samba RODC.
(beberapa perlu ditambahkan dengan tangan karena belum ditambahkan oleh samba:
SRV _ldap._tcp.${SITE}._sites.DomainDnsZones.${DNSDOMAIN} ${HOSTNAME} 389
SRV _ldap._tcp.${SITE}._sites.ForestDnsZones.${DNSFOREST} ${HOSTNAME} 389
) (harus menutup braket)
Jadi ... apa yang rusak dan bagaimana cara memperbaikinya?
Info SPN
> dsquery * "CN=SLES-SHIRE,OU=Domain Controllers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
servicePrincipalName
ldap/SLES-SHIRE;
ldap/4116d553-d66b-4c8b-9a60-90380ac69c04._msdcs.main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
HOST/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
HOST/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
RestrictedKrbHost/SLES-SHIRE.main.adlab.netdirect.ca;
RestrictedKrbHost/SLES-SHIRE;
GC/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
HOST/SLES-SHIRE.main.adlab.netdirect.ca;HOST/SLES-SHIRE;
> dsquery * "CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
servicePrincipalName
TERMSRV/WIN7-SHIRE.main.adlab.netdirect.ca;
TERMSRV/WIN7-SHIRE;
RestrictedKrbHost/WIN7-SHIRE;
HOST/WIN7-SHIRE;
RestrictedKrbHost/WIN7-SHIRE.main.adlab.netdirect.ca;
HOST/WIN7-SHIRE.main.adlab.netdirect.ca;