Disponemos de un TS809U que hemos unido al dominio. Los recursos compartidos y los derechos de acceso funcionan como deberían con los usuarios del dominio y todo es como debería ser. Pero después de un par de semanas/un mes, los usuarios y grupos del dominio desaparecen del TS809 y tengo que volver a unirme manualmente al dominio. Después de volver a unirme al dominio, el proceso se repite dentro del mismo período de tiempo y tengo que volver a unirme al dominio una vez más.
No hay errores en los registros de la interfaz web y muestra que el NAS se unió al dominio con éxito. Actualicé el TS809U al último firmware 4.0.3 (de 3.x) con la esperanza de que esto lo solucionara, pero el problema persiste.
¿Alguien se ha encontrado con esto antes y podría saber cuál podría ser el problema o cómo solucionarlo más?
El único mensaje que pude encontrar en el visor de eventos que hace referencia al NAS es un 5722 que podría apuntar en la dirección del comentario a continuación:
La configuración de la sesión desde la computadora
NASC473CDno pudo autenticarse. Los nombres de las cuentas a las que se hace referencia en la base de datos de seguridad sonNASC473CD$.
Se produjo el siguiente error:
Acceso denegado.
El tiempo transcurrido entre el momento en que las entradas desaparecieron y luego reaparecieron parece ser de 14 días. Nuestro dominio (todavía) está basado en Windows Server 2003.
Actualizar
Actualización: el problema volvió a surgir, pero los registros realmente no mostraron nada interesante.wbinfo -t(probando el secreto de confianza)no funcionó y (como era de esperar) tampocowbinfo -c(cambiando el secreto de confianza). Descubrí que la tienda de boletos kerberos5 actual no se había actualizado y la validez de los boletos kerberos había expirado, lo que podría estar conectado. Ahora lo agregué /sbin/update_krb5_ticketal crontab para ver si eso ayuda (y ahora se actualiza cada hora).
Actualización 2014-02-25
Aún no hay éxito. log.wb-DOMAINNAMEmuestra que aparentemente se nos niega el acceso, probablemente debido a que se agotó el tiempo de espera de las credenciales o a secretos no válidos. No estoy seguro de cómo progresar, ya que la lista de tickets de Kerberos ( klist) mostró un ticket válido cuando ocurrió.
log.wb-DOMAINNAMEmuestra:
[2014/02/25 03:05:20.545176, 3] winbindd/winbindd_pam.c:1902(winbindd_dual_pam_auth_crap)
could not open handle to NETLOGON pipe (error: NT_STATUS_ACCESS_DENIED)
[2014/02/25 03:05:20.545198, 2] winbindd/winbindd_pam.c:2003(winbindd_dual_pam_auth_crap)
NTLM CRAP authentication for user [DOMAINNAME]\[MACHINE$] returned NT_STATUS_ACCESS_DENIED (PAM: 4)
[2014/02/25 03:05:20.548424, 3] winbindd/winbindd_pam.c:1841(winbindd_dual_pam_auth_crap)
[20497]: pam auth crap domain: DOMAINNAME user: MACHINE$
(Los mismos mensajes de error ocurren cuando se hace referencia a usuarios). Al menos el problema parece ser que, según tengo entendido, el servidor responde ACCESS_DENIEDcuando samba intenta utilizar el recurso. NETLOGONSin embargo, descubrí que uno de los servidores DNS del TS809 estaba configurado en un servidor externo, y no en un servidor del dominio. Actualicé los servidores DNS para que ambos apunten a nuestros AD DC-s para ver si ese podría ser el motivo (si cae en el externo, obtendrá el host no encontrado en lugar de tiempos de espera para los hosts internos basados en dominios) .
Actualización 2015-03-04. Script de reincorporación automatizado implementado como solución alternativa.
Todavía no estamos más cerca de determinar una solución duradera, pero actualmente vemos tiempos de espera cada semana. Parece ser el mismo momento que un ticket Kerberos válido, pero no he podido encontrar ninguna configuración que lo cambie.
Sin embargo, he creado un pequeño script que comprueba si hemos perdido la lista de usuarios del dominio y se vuelve a unir al servidor si es necesario. (Usando Sambanet rpc joindominio.) "nombre de usuario" es un usuario en el dominio que tiene acceso para unir computadoras al dominio (creamos un usuario para qnap solo para este propósito):
COUNT=`wbinfo -g | grep DOMAINNAME | wc -l`
if [ "$COUNT" -lt "1" ]
then
/usr/local/samba/bin/net rpc join -Uusername%password
fi
Este script se ejecuta en qnap con cron (busque qnap cron en Google sobre cómo configurar cron correctamente). Esto ha funcionado decentemente los últimos meses.
Respuesta1
Me parece un problema con la contraseña de la cuenta de la máquina. Por diseño en un dominio 2k3, el restablecimiento se genera cada 30 días, pero el cliente puede activar el restablecimiento de la contraseña de la cuenta de la máquina cuando lo desee.
Normalmente, el miembro primero crea la nueva contraseña y luego la envía al DC.
Por alguna razón, parece que su qnap está generando una nueva contraseña después de dos semanas, pero luego no puede enviarla al DC debido a un canal seguro roto.
No conozco las funciones que ofrece qnap, ¿podrías iniciar sesión a través de ssh? ¡¿Creo que es un sistema basado en Unix?! Quizás haya una opción para deshabilitar la contraseña de la cuenta de la máquina. El fideicomiso no dejará de funcionar después de estos 30 días.
Quizás interesante: Colección de enlaces:
- http://support.microsoft.com/kb/810977, El ID de evento 5722 está registrado en su controlador de dominio basado en Windows Server
- http://blogs.technet.com/b/asiasupp/archive/2007/01/18/third-symptoms-when-secure-channel-is-broken.aspx
- http://www.dekart.com/howto/howto_logon/howto_logon_samba/trust_accounts/