ドメインに参加した TS809U があります。共有とアクセス権はドメイン ユーザーで正常に機能し、すべてが正常に動作しています。しかし、数週間または 1 か月後にドメイン ユーザーとグループが TS809 から消えてしまい、手動でドメインに再度参加する必要があります。ドメインに再度参加した後、同じ期間内にプロセスが繰り返され、もう一度ドメインに再度参加する必要があります。
Web インターフェイスのログにはエラーはなく、NAS がドメインに正常に参加していることが示されています。TS809U を最新のファームウェア 4.0.3 (3.x から) に更新して問題が解決することを期待しましたが、問題は依然として解決しません。
これまでにこれに遭遇した人はいますか? 問題は何でしたか? さらにトラブルシューティングするにはどうすればよいでしょうか?
イベント ビューアーで NAS を参照する唯一のメッセージは 5722 で、これは以下のコメントの方向を指している可能性があります。
コンピュータからのセッション設定
NASC473CDの認証に失敗しました。セキュリティ データベースで参照されているアカウントの名前は ですNASC473CD$。
次のエラーが発生しました:
アクセスが拒否されました。
エントリが消えてから再び現れるまでの期間は 14 日間のようです。私たちのドメインは (まだ) Windows Server 2003 をベースにしています。
アップデート
更新: 問題は再び発生しましたが、ログには特に興味深い内容は示されていません。wbinfo -t(信頼の秘密をテスト中)うまくいかなかったし、(当然のことながら)うまくいかなかったwbinfo -c(信頼シークレットの変更). 現在の Kerberos5 チケット ストアが更新されておらず、Kerberos チケットの有効期限が切れていることが分かりました。これが関係している可能性があります。これで、/sbin/update_krb5_ticketcrontab に追加して、問題が解決するかどうかを確認しました (現在は 1 時間ごとに更新されています)。
2014-02-25更新
まだ成功していません。資格情報のタイムアウトまたは無効なシークレットが原因で、アクセスが拒否されているようです。Kerberos チケット リスト ( ) には、発生時に有効なチケットが表示されていたlog.wb-DOMAINNAMEため、どのように進めればよいかわかりません。klist
log.wb-DOMAINNAME表示:
[2014/02/25 03:05:20.545176, 3] winbindd/winbindd_pam.c:1902(winbindd_dual_pam_auth_crap)
could not open handle to NETLOGON pipe (error: NT_STATUS_ACCESS_DENIED)
[2014/02/25 03:05:20.545198, 2] winbindd/winbindd_pam.c:2003(winbindd_dual_pam_auth_crap)
NTLM CRAP authentication for user [DOMAINNAME]\[MACHINE$] returned NT_STATUS_ACCESS_DENIED (PAM: 4)
[2014/02/25 03:05:20.548424, 3] winbindd/winbindd_pam.c:1841(winbindd_dual_pam_auth_crap)
[20497]: pam auth crap domain: DOMAINNAME user: MACHINE$
ACCESS_DENIED(ユーザーを参照する場合にも同じエラー メッセージが表示されます)。少なくとも、私の理解では、問題は、samba がリソースを使用しようとしたときにサーバーが応答することのようですNETLOGON。ただし、TS809 の DNS サーバーの 1 つがドメイン内のサーバーではなく外部サーバーに設定されていることを発見しました。DNS サーバーを更新して、両方の AD DC を指すようにし、それが原因かどうかを確認しました (外部にフォールオーバーすると、内部のドメイン ベースのホストのタイムアウトではなく、ホストが見つからないというエラーが発生します)。
2015 年 3 月 4 日更新。回避策として自動再参加スクリプトが導入されました。
まだ永続的な解決策の決定には至っていませんが、現在は毎週タイムアウトが発生しています。これは有効な Kerberos チケットと同じ時間のようですが、これを変更する設定を見つけることができませんでした。
しかし、ドメインからユーザーリストが失われたかどうかをチェックし、必要に応じてサーバーに再参加する小さなスクリプトを作成しました。(Sambaのnet rpc join指示.) 「ユーザー名」は、ドメインにコンピューターを参加させるアクセス権を持つドメイン内のユーザーです (この目的のためだけに QNAP のユーザーを作成しました):
COUNT=`wbinfo -g | grep DOMAINNAME | wc -l`
if [ "$COUNT" -lt "1" ]
then
/usr/local/samba/bin/net rpc join -Uusername%password
fi
このスクリプトは、cron を使用して QNAP 上で実行されます (cron を適切に設定する方法については、Google で qnap cron を検索してください)。これは、ここ数か月間、正常に動作しています。
答え1
マシン アカウント パスワードに問題があるように思えます。2k3 ドメインの設計では、リセットは 30 日ごとに生成されますが、マシン アカウント パスワードのリセットは、クライアントによっていつでもトリガーできます。
通常、メンバーは最初に新しいパスワードを作成し、それを DC に送信します。
何らかの理由で、QNAP は 2 週間後に新しいパスワードを生成しているようですが、安全なチャネルが壊れているためにそれを DC にプッシュできないようです。
QNAP が提供する機能はわかりませんが、SSH 経由でログオンできますか? Unix ベースのシステムだと思います?! マシン アカウント パスワードを無効にするオプションがあるかもしれません。信頼は 30 日経過しても機能し続けます。
興味深いかもしれない: リンク集: