良い一日、
当社では、ユーザーが簡単にファイルを転送できるように、複数の HPC (RHEL、CentOS、Ubuntu) で samba 共有を実行しています。約 3 か月前に、DC/AD が更新され、冗長性 (2 台のサーバー) が確保されましたが、それ以降、次の理由で samba 共有が散発的に失敗します。systemctl status smb
現在、パスワードは変更されておらず、sssd は引き続きドメイン ユーザーのログインを許可し、エラーは表示されません。これは Kerberos/smb の問題であるに違いありません。この問題を解決するために必要な構成ファイルがあれば、喜んで共有します。
答え1
「事前認証に失敗しました」は、Kerberos 用語で「パスワードが間違っています」という意味です。
ログによると、メッセージは機械アカウント( という名前が付けられているため____$、幸いにもログでは切り取られていません)なので、Windowsの用語では、これは「このワークステーションとプライマリドメイン間の信頼関係が失敗しました」というエラーです。
パスワードは変更されていないと言っているが、通常、ADメンバーホストはマシンアカウントのパスワードを変更する。自動的にスケジュールに従って、約 30 日ごとに実行されるため、このメッセージが表示されるのは次のような場合です。
a) このマシンのパスワード変更が、変更が行われた AD ドメイン コントローラーから他の DC に正しく複製されなかった、または b) AD DC がバックアップから復元された (つまり、マシンが新しいパスワードを使用しようとしている間、DC は引き続き古いパスワードを期待している)。
この特定のメッセージは、SSSD が AD に接続しようとしている (おそらくユーザー アカウント情報を取得するため) ために表示されますが、同じマシン アカウント パスワードは着信接続の Kerberos チケットの検証にも使用されるため、AD との同期が解除されると、サーバーは NTLM または Kerberos チケット ベースの接続を受け入れることができなくなります。
ネットワークが 1 つの DC から複数の DC に移行したように思われるので、それらの間のレプリケーションに問題があるのではないかと疑っています。これは、まず DC 側で解決する必要があります。ただし、お客様側では、マシン アカウントのパスワードをリセットする必要がある可能性があります (サーバーに再度参加するなど)。