Guten Tag,
Wir haben mehrere HPCs (RHEL, CentOS, Ubuntu), auf denen Samba-Freigaben laufen, sodass Benutzer problemlos Dateien hin und her übertragen können. Vor etwa 3 Monaten wurden die DCs/AD aktualisiert und redundant gemacht (2 Server) und seitdem treten bei unseren Samba-Freigaben sporadische Fehler auf:systemctl status smb
Nun wurden keine Passwörter geändert, sssd erlaubt Domänenbenutzern weiterhin die Anmeldung und zeigt keine Fehler an. Es muss ein Kerberos/SMB-Problem sein. Gerne teile ich alle Konfigurationsdateien, die zur Lösung dieses Problems erforderlich sind.
Antwort1
„Vorauthentifizierung fehlgeschlagen“ bedeutet im Kerberos-Jargon „Falsches Passwort“.
Aus Ihren Protokollen geht hervor, dass sich die Nachricht auf eineMaschineKonto (aufgrund des Namens ____$, den Sie glücklicherweise in Ihren Protokollen nicht abgeschnitten haben), also ist dies in Windows-Begriffen der Fehler „Die Vertrauensbeziehung zwischen dieser Arbeitsstation und der primären Domäne ist fehlgeschlagen“, weil
Auch wenn Sie sagen, dass keine Passwörter geändert wurden, ändern AD-Mitgliedshosts im Allgemeinen ihre Computerkonto-Passwörterautomatischregelmäßig, etwa alle 30 Tage. Der Erhalt dieser Nachricht bedeutet also wahrscheinlich:
a) die Kennwortänderung dieses Computers wurde nicht korrekt vom AD-Domänencontroller, auf dem sie vorgenommen wurde, auf die anderen DCs repliziert, oder b) die AD-DCs wurden aus Sicherungen wiederhergestellt. Dies bedeutet, dass die DCs noch immer das alte Kennwort erwarten, während der Computer versucht, das neue zu verwenden.
Die spezielle Meldung wird dadurch verursacht, dass Ihr SSSD versucht, eine Verbindung zu AD herzustellen (wahrscheinlich um Benutzerkontoinformationen abzurufen), das gleiche Computerkontokennwort wird jedoch auch zum Überprüfen von Kerberos-Tickets für eingehende Verbindungen verwendet. Wenn die Synchronisierung mit AD aufgehoben wird, kann der Server daher keine NTLM- oder Kerberos-Ticket-basierten Verbindungen mehr akzeptieren.
Da es so klingt, als ob Ihr Netzwerk von einem DC auf mehrere umgestellt wurde, würde ich vermuten, dass es bei der Replikation zwischen ihnen Probleme gibt und das muss zuerst auf der DC-Seite gelöst werden. Auf Ihrer Seite müssen Sie jedoch wahrscheinlich das Kennwort des Computerkontos zurücksetzen (z. B. den Servern erneut beitreten).