我们有一台已加入域的 TS809U。共享和访问权限与域用户一起工作,一切都正常。但几周/一个月后,域用户和组从 TS809 上消失,我必须再次手动重新加入域。重新加入域后,该过程在相同的时间范围内重复,我必须再次重新加入域。
Web 界面中的日志中没有错误,并且显示 NAS 已成功加入域。我将 TS809U 更新到最新固件 4.0.3(来自 3.x),希望这能解决问题,但问题仍然存在。
有人遇到过这种情况吗?可能是什么问题,或者如何进一步排除故障?
我在事件查看器中能够找到的唯一一条引用 NAS 的消息是 5722,它可能指向以下评论的方向:
计算机设置的会话身份
NASC473CD
验证失败。安全数据库中引用的帐户名称为NASC473CD$
。
发生以下错误:
访问被拒绝。
条目消失和重新出现之间的时间间隔似乎是 14 天。我们的域(仍然)基于 Windows Server 2003。
更新
更新:问题再次出现,但日志并没有显示任何有趣的内容。wbinfo -t
(测试信任秘密)没有起作用,而且(不出所料)也没有wbinfo -c
(改变信任秘密)。我确实发现当前的 kerberos5 票证存储尚未刷新,并且 kerberos 票证的有效期已过期,这可能是有关联的。我现在已将其添加/sbin/update_krb5_ticket
到 crontab 中,看看这是否有帮助(现在每小时刷新一次)。
更新 2014-02-25
仍然没有成功。log.wb-DOMAINNAME
显示我们显然被拒绝访问,可能是因为凭证超时或机密无效。不确定如何继续,因为klist
当发生这种情况时,kerberos 票证列表 () 显示有效票证。
log.wb-DOMAINNAME
显示:
[2014/02/25 03:05:20.545176, 3] winbindd/winbindd_pam.c:1902(winbindd_dual_pam_auth_crap)
could not open handle to NETLOGON pipe (error: NT_STATUS_ACCESS_DENIED)
[2014/02/25 03:05:20.545198, 2] winbindd/winbindd_pam.c:2003(winbindd_dual_pam_auth_crap)
NTLM CRAP authentication for user [DOMAINNAME]\[MACHINE$] returned NT_STATUS_ACCESS_DENIED (PAM: 4)
[2014/02/25 03:05:20.548424, 3] winbindd/winbindd_pam.c:1841(winbindd_dual_pam_auth_crap)
[20497]: pam auth crap domain: DOMAINNAME user: MACHINE$
(当引用用户时会出现相同的错误消息)。据我所知,至少问题似乎是ACCESS_DENIED
当 samba 尝试使用NETLOGON
资源时,服务器会做出响应。但是,我发现 TS809 上的其中一个 DNS 服务器设置为外部服务器 - 而不是域中的服务器。我已更新 DNS 服务器以指向我们的 AD DC-s,以查看这是否是原因(如果它转移到外部,它将得到主机未找到,而不是内部、基于域的主机超时)。
更新2015-03-04。部署自动重新加入脚本作为解决方法。
我们仍未找到持久的解决方案,但目前我们每周都会看到超时。这似乎与有效的 Kerberos 票证的时间相同,但我找不到任何可以更改它的设置。
不过,我创建了一个小脚本,用于检查我们是否丢失了域中的用户列表,并在需要时重新加入服务器。(使用 Samba 的net rpc join
命令)“用户名”是域中有权将计算机加入域的用户(我们为此目的为 qnap 创建了一个用户):
COUNT=`wbinfo -g | grep DOMAINNAME | wc -l`
if [ "$COUNT" -lt "1" ]
then
/usr/local/samba/bin/net rpc join -Uusername%password
fi
此脚本通过 cron 在 qnap 上运行(在 Google 上搜索 qnap cron 以了解如何正确设置 cron)。过去几个月运行良好。
答案1
我觉得这似乎是机器帐户密码的问题。根据 2k3 域的设计,重置每 30 天生成一次,但客户端可以随时触发机器帐户密码重置。
通常情况下,成员首先创建新密码,然后将其拉到 DC。
无论出于什么原因,您的 qnap 似乎在两周后生成了一个新密码,但由于安全通道中断而无法将其推送到 DC。
我不知道 qnap 提供的功能,您可以通过 ssh 登录吗?我认为它是一个基于 unix 的系统?!也许有一个选项可以禁用机器帐户密码。30 天后,信任不会停止工作。
也许有趣:链接集合: