我们有一台已加入域的 TS809U。共享和访问权限与域用户一起工作，一切都正常。但几周/一个月后，域用户和组从 TS809 上消失，我必须再次手动重新加入域。重新加入域后，该过程在相同的时间范围内重复，我必须再次重新加入域。

Web 界面中的日志中没有错误，并且显示 NAS 已成功加入域。我将 TS809U 更新到最新固件 4.0.3（来自 3.x），希望这能解决问题，但问题仍然存在。

有人遇到过这种情况吗？可能是什么问题，或者如何进一步排除故障？

我在事件查看器中能够找到的唯一一条引用 NAS 的消息是 5722，它可能指向以下评论的方向：

计算机设置的会话身份NASC473CD验证失败。安全数据库中引用的帐户名称为NASC473CD$。
发生以下错误：
访问被拒绝。

条目消失和重新出现之间的时间间隔似乎是 14 天。我们的域（仍然）基于 Windows Server 2003。

更新

更新：问题再次出现，但日志并没有显示任何有趣的内容。wbinfo -t（测试信任秘密）没有起作用，而且（不出所料）也没有wbinfo -c（改变信任秘密）。我确实发现当前的 kerberos5 票证存储尚未刷新，并且 kerberos 票证的有效期已过期，这可能是有关联的。我现在已将其添加/sbin/update_krb5_ticket到 crontab 中，看看这是否有帮助（现在每小时刷新一次）。

更新 2014-02-25

仍然没有成功。log.wb-DOMAINNAME显示我们显然被拒绝访问，可能是因为凭证超时或机密无效。不确定如何继续，因为klist当发生这种情况时，kerberos 票证列表 () 显示有效票证。

log.wb-DOMAINNAME显示：

[2014/02/25 03:05:20.545176,  3] winbindd/winbindd_pam.c:1902(winbindd_dual_pam_auth_crap)
  could not open handle to NETLOGON pipe (error: NT_STATUS_ACCESS_DENIED)
[2014/02/25 03:05:20.545198,  2] winbindd/winbindd_pam.c:2003(winbindd_dual_pam_auth_crap)
  NTLM CRAP authentication for user [DOMAINNAME]\[MACHINE$] returned NT_STATUS_ACCESS_DENIED (PAM: 4)
[2014/02/25 03:05:20.548424,  3] winbindd/winbindd_pam.c:1841(winbindd_dual_pam_auth_crap)
  [20497]: pam auth crap domain: DOMAINNAME user: MACHINE$

（当引用用户时会出现相同的错误消息）。据我所知，至少问题似乎是ACCESS_DENIED当 samba 尝试使用NETLOGON资源时，服务器会做出响应。但是，我发现 TS809 上的其中一个 DNS 服务器设置为外部服务器 - 而不是域中的服务器。我已更新 DNS 服务器以指向我们的 AD DC-s，以查看这是否是原因（如果它转移到外部，它将得到主机未找到，而不是内部、基于域的主机超时）。

更新2015-03-04。部署自动重新加入脚本作为解决方法。

我们仍未找到持久的解决方案，但目前我们每周都会看到超时。这似乎与有效的 Kerberos 票证的时间相同，但我找不到任何可以更改它的设置。

不过，我创建了一个小脚本，用于检查我们是否丢失了域中的用户列表，并在需要时重新加入服务器。（使用 Samba 的net rpc join命令)“用户名”是域中有权将计算机加入域的用户（我们为此目的为 qnap 创建了一个用户）：

COUNT=`wbinfo -g | grep DOMAINNAME | wc -l`

if [ "$COUNT" -lt "1" ]
then
    /usr/local/samba/bin/net rpc join -Uusername%password
fi

此脚本通过 cron 在 qnap 上运行（在 Google 上搜索 qnap cron 以了解如何正确设置 cron）。过去几个月运行良好。