我有一个 Windows AD 的 Samba 成员。我使用sssd
和的组合winbind
。Samba 管理机器密码更改,并且还配置为更新 使用的密码sssd
。(通常由 处理的机器密码更新sssd
已被禁用。)
该问题出现在 Samba 文件服务器上,banas
错误如下:
net ads changetrustpw
Changing password for principal: [email protected]
Password change failed: No more connections can be made to this remote computer at this time because the computer has already accepted the maximum number of connections.
我无法通过 Google 找到与该错误消息相关的任何有用匹配项(我所看到的一切似乎都与 Windows XP 或其他 Windows 桌面系统试图向太多客户端提供网络共享有关)。
信任很好,因为我可以浏览 Samba 提供的共享,wbinfo -i
为非本地 AD 帐户返回合理且预期的信息,并net ads testjoin
返回预期的Join is OK
。
我已启用changetrustpw
命令的调试功能,但什么也没发生。成功连接到 DC,随后进行协商,但最终再次出现错误。
AD 由最初运行 Windows 2012 R2 但逐渐升级到 Windows 2016 的 DC 进行管理。
相关片段来自smb.conf
[global]
server string Fileserver
server role = member server
server services = -dns
workgroup = CONTOSO
realm = CONTOSO.COM
security = ADS
encrypt passwords = yes
kerberos method = secrets and keytab
client ldap sasl wrapping = sign
passdb backend = tdbsam
idmap config CONTOSO : backend = sss
idmap config CONTOSO : range = 800000000-899999999
idmap config * : backend = tdb
idmap config * : range = 100000000-199999999
相关片段来自sssd.conf
[domain/contoso.com]
ad_domain = contoso.com
ad_hostname = banas.contoso.com
krb5_realm = CONTOSO.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
ad_domain = contoso.com
krb5_realm = CONTOSO.COM
use_fully_qualified_names = False
fallback_homedir = /home/DOMAIN=CONTOSO/%u
access_provider = permit
ldap_group_nesting_level = 5
ldap_use_tokengroups = false
ad_maximum_machine_account_password_age = 0
我已经混淆了,但始终如一。就这个问题而言,我的域名是CONTOSO
,contoso.com
。
尝试期间不会向 Samba 或 sssd 日志文件写入任何内容changetrustpw
。相同的配置在其他 Samba 成员上按预期工作。如果相关,Debian 在这三种情况下都“Stretch”。
我可以根据要求添加其他详细信息——我只是不知道现阶段还有什么有用的东西。
如果有人可以向我建议补救措施(或者向我指出其他可能帮助我诊断和解决问题的资源),我将不胜感激。