所以Ubuntu 18.04.4,Samba 版本4.7.6-Ubuntu
我的这台机器有这个问题。每当系统重新启动时,winbind.service 都无法正常启动,并且出现错误“时钟偏差太大”记录在日志中。
winbind 日志:
[2020/02/17 17:25:12.840317, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)
initialize_winbindd_cache: clearing cache and re-creating with version number 2
[2020/02/17 17:25:12.879543, 0] ../lib/util/become_daemon.c:124(daemon_ready)
STATUS=daemon 'winbindd' finished starting up and ready to serve connections
[2020/02/17 17:25:18.175567, 0] ../source3/librpc/crypto/gse.c:532(gse_get_client_auth_token)
gse_get_client_auth_token: gss_init_sec_context failed with [ Miscellaneous failure (see text): Clock skew too great](2529638949)
[2020/02/17 17:25:18.397020, 0] ../source3/librpc/crypto/gse.c:532(gse_get_client_auth_token)
gse_get_client_auth_token: gss_init_sec_context failed with [ Miscellaneous failure (see text): Clock skew too great](2529638949)
[2020/02/17 17:25:18.909264, 0] ../source3/librpc/crypto/gse.c:532(gse_get_client_auth_token)
gse_get_client_auth_token: gss_init_sec_context failed with [ Miscellaneous failure (see text): Clock skew too great](2529638949)
机器启动后,我就可以手动systemctl restart winbind启动,而且没有任何问题。
我检查了所有可能的配置,一切似乎都正常。我还从头开始重建了机器。
我配置了 chrony 时间同步客户端,也试了 systemd-timesync,检查机器其实是同步的。
我也尝试/lib/systemd/system/winbind.service通过添加 After=chrony.service 进行编辑,但这没有什么区别。
在DC中,chrony显示客户端已连接:
Hostname NTP Drop Int IntL Last Cmd Drop Int Last
===============================================================================
smb1.domain.club 181 0 6 - 36 0 0 - -
giorgilaptop.domain.club 3 0 12 - 40m 0 0 - -
plex.domain.club 110 0 6 - 0 0 0 - -
在发生故障的机器中,也会显示正确的来源
localuser@smb1:~$ sudo chronyc sources
210 Number of sources = 1
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* dc1.domain.club 2 6 377 47 -12us[ -17us] +/- 20ms
该机器是按照以下步骤创建的:
https://wiki.samba.org/index.php/Setting_up_Samba_as_a_Domain_Member
编辑:显然,当虚拟机在我的服务器上运行 ESXI 6.7 时会发生这种情况。我已将虚拟机下载到 wmware 工作站,并且 winbind 启动没有任何问题。这必须以某种方式与 esxi 和时间同步相关。
答案1
问题解决了。
如果您和我一样使用 Vmware ESXi,则必须在 ESXi 设置中启用 ntp 同步,以便它从主机启动,并添加与域控制器在 ntp 服务器中配置的相同的池。
然后,对于每个作为域成员的虚拟机,您必须在 vmware 工具选项下启用客户机和主机之间的时间同步。
答案2
你在短期内处理了问题,但主要问题仍然存在,因为你没有解决真正的问题,并导致了广泛的安全问题
问题
您的 Linux 客户端在重启后无法连接到 AD
原因
当使用 winbind 时,尝试连接到 AD 的客户端应该与 AD 的时间同步,相差不超过 5 分钟。
您的解决方案没有完全发挥作用,因为
您提供的解决方案仅在安装了 vmtools 时才有效,否则由于虚拟机无法从其主机获取时间,此问题会再次出现。
造成安全问题
将 AD 和 ESXi 主机直接指向公共 NTP 会给您带来安全问题,这是微软或 VMware 不推荐的。
我建议建立一个 NTP 服务器并将所有 AD 和 ESX 主机指向内部 NTP 服务器,如果任何客户端没有 vmtools,您可以将它们映射到内部 NTP。