我们有一个 Windows 域,其中还有一个 RHEL 成员服务器。所有服务器都具有到 LAN 的主网络连接,但有些服务器还具有到 RHEL 服务器的专用私有链路,该服务器充当我们 SAN 存储的头。
该特定服务器正在运行 Samba 3.5.15,并以 ADS 身份验证模式运行。
用户可以通过我们 Windows 服务器的 LAN 连接毫无问题地访问此服务器上的共享,但如果用户尝试通过私有链接(即 RHEL 服务器的 192.168.1.2 地址)访问共享,用户会收到错误“此工作站与主域之间的信任关系失败”。
当我查看日志时,我收到很多错误,这些错误在网上随处可见 - 其中一种情况与我的情况不符。尽管如此,也许有人会看到我没有看到的东西:
我三次同时遇到这两个错误:
Failed to get schannel session key from server DC for domain DOMAIN
connect_to_domain_password_server: unable to open the domain client session to machine DC - NT_STATUS_ACCESS_DENIED
然后我收到这两个错误:
domain_client_validate: Domain password server not available
check_ntlm_password: Authentication for user <the user trying to access the share> FAILED with error NT_STATUS_TRUSTED_RELATIONSHIP_FAILURE
每次访问尝试时,这组错误都会重复三次。
答案1
这可能是一个非常特殊的情况,我希望我能有更好的答案,但我今天又花了几个小时研究这个问题,发现 Winbind 已关闭。我知道 winbind 过去一直在运行,因为我使用 wbinfo -a 成功进行了身份验证。当时我们仍然无法通过私有链接访问 Samba。
无论如何,在重新打开 Winbind 后,私人链接神奇地开始工作。果然,关闭它后,它们又坏了。
不过,整个过程中,我都能够通过主 LAN 连接访问共享。如果有人能解释其中的原因,我还是会给他 50 分 :D
答案2
由于 Active Directory 使用 Kerberos 进行身份验证,因此错误可能与私有 IP 的反向名称与 RHEL 服务器加入域时的名称不匹配有关。如果您将反向 DNS 192.168.1.2 设置为与服务器的主机名匹配,则可能会解决问题。