我在这里写这篇文章只是为了以防有人能在这里帮我一点忙,因为我有点迷茫了。我正在通过 Samba 版本 4.1.12(安装在 Debian 7 中)管理域控制器,这是一个稍旧的版本,但我想知道为什么最近我有两台新计算机试图加入 DC,但我无法加入它们,因为他们在每种情况下都说管理员的登录名和密码不正确。
有趣的是,如果我尝试登录/访问我们拥有的共享文件夹之一,除了加入域之外,它都可以正常工作。我刚刚设置了一台使用相同 Windows 版本的笔记本电脑并将其加入域,它也可以正常工作,所以我想这一定是某种仅适用于这两台新电脑的 Windows 安全更新?它们是 2 台 PC NUC11,安装了全新的 Windows 11 Pro。
到目前为止,我发现,一旦您尝试加入域,Kerberos 就会抱怨完整性检查:
Kerberos: Failed to verify authenticator checksum: Decrypt integrity check failed for checksum type rsa-md5, key type arcfour-hmac-md5
另一方面,当您启动 Samba 时,arcfour-hmac-md5 enctype 受支持:
Kerberos: Client supported enctypes: aes256-cts-hmac-sha1-96, aes128-cts-hmac-sha1-96, des3-cbc-sha1, arcfour-hmac-md5, using arcfour-hmac-md5/arcfour-hmac-md5
有人能告诉我我可能做错了什么吗?有什么需要注意的吗?我尝试修改 krb5.conf 以添加任何新的 enctypes,但据我所知,我想要的 enctype 已经存在了。我应该将 rsa-md5 添加到列表中吗?我也试过了,但根本不起作用。
在此先非常感谢您的帮助!
附言:我知道我应该更新 Samba :)
编辑:最后,我成功升级了 Samba,这是唯一剩下的选择。您需要特别注意以下版本,我强烈建议您在升级到最新版本之前先进行小规模的重大升级:https://wiki.samba.org/index.php/Updating_Samba
我们根本没有办法让这些工作站工作。我所能做的就是到达@evs(见下文)提到的 Reddit 链接。我们在本地策略管理中更改了 Kerberos 的操作系统密码并设置了一些注册表项,但无论如何我们都能访问并让系统加载 GPO(相同的密码错误,我找不到可以更改它的位置)。这意味着,例如,工作站无法启用脱机文件或使用文件夹重定向。有一个好处,用户没有机会更新他的密码。之后,我完全放弃了,并在一个周末更新了系统……在网上阅读了很多资料后,我担心在这种情况下更新是绝对必要的。