问题:
每 7 天,2 台 Windows 服务器无法访问 SMB/CIFS 共享。几个小时后它将开始工作。环境:
OpenFiler Linux 系统加入 2003 AD 域
Win2003 服务器上的前台应用程序使用 Windows 凭据访问 SMB/CIFS 共享 Win2008 上的另一个进程使用 Windows 凭据通过 SQL Server 访问共享 Linux 机器上的 Samba 版本是 3.4.5。 安全性设置为 ADS wbinfo 和 getent 返回预期的用户和组 看起来不是一个双跳问题,因为无论呼叫用户是谁,它始终是 2 个帐户。 Linux 机器的正向和反向查找区域中都有一个 DNS 条目 活动目录中的 Linux 计算机对象显示它在两个客户端开始无法访问共享时被修改 尝试通过 IP 访问共享,但通过名称访问共享则不行 重新启动 Windows 服务器即可解决此问题(这是生产环境,仅重新启动过一次) 重新启动 smbd、winbind、nmbd 无效 相关客户端的 samba 日志中出现错误:smbd/sesssetup.c:342(reply_spnego_kerberos) 无法验证传入票证,错误为 NT_STATUS_LOGON_FAILURE!问题:
这看起来像是机器账户密码正在改变(因此 AD 对象显示更新的修改日期)还是两个 Windows 客户端无法请求针对这个 Linux 机器的新票证?
答案1
检查pwdLastSet
计算机对象上的属性以检查机器帐户密码是否已更改;我猜测它只是对某些其他属性(例如lastLogonTimestamp
)的更新。
我敢打赌,这是 OpenFiler 设备上的 Kerberos 票证的问题;7 天是 Active Directory 中的默认最大有效期,并且 OpenFiler 似乎无法在该错误消息中成功获取新票证。
尝试更改票证有效期的设置,看看是否有区别。在您的默认域策略中,计算机 > Windows 设置 > 安全 > 帐户 > Kerberos,设置“用户票证续订的最大有效期”。我不太确定,但我怀疑更改后需要重新启动 KDC 服务。