Buen día,
Tenemos varios HPC (RHEL, CentOS, Ubuntu) que ejecutan recursos compartidos de samba para que el usuario pueda transferir archivos fácilmente de un lado a otro. Hace aproximadamente 3 meses, los DC/AD obtuvieron una actualización, redundancia (2 servidores) y desde entonces nuestros recursos compartidos de samba fallan esporádicamente por:systemctl status smb
Ahora no se han cambiado contraseñas, sssd todavía permite a los usuarios del dominio iniciar sesión y no muestra errores. Debe ser un problema de kerberos/smb. Feliz de compartir los archivos de configuración necesarios para intentar resolver este problema.
Respuesta1
"Error de autenticación previa" en Kerberos significa "contraseña incorrecta".
Sus registros muestran que el mensaje se relaciona con unmáquinacuenta (debido a que tiene el nombre ____$, que afortunadamente no cortó en sus registros), por lo que en términos de Windows, este es el error "La relación de confianza entre esta estación de trabajo y el dominio principal falló", porque
Aunque usted diga que no se han cambiado contraseñas, generalmente los hosts miembros de AD cambian las contraseñas de sus cuentas de máquina.automáticamentesegún un cronograma, aproximadamente cada 30 días, por lo que recibir este mensaje probablemente signifique:
a) el cambio de contraseña de esta máquina no se replicó correctamente desde el controlador de dominio de AD en el que se realizó a los otros DC, ob) los DC de AD se restauraron a partir de copias de seguridad; lo que significa que los DC aún esperan la contraseña anterior mientras la máquina intenta usar la nueva.
El mensaje específico se debe a que su SSSD intenta conectarse a AD (probablemente para obtener información de la cuenta del usuario), pero la misma contraseña de la cuenta de la máquina también se usa para verificar los tickets de Kerberos para las conexiones entrantes, por lo que si se desincroniza de AD, el servidor ya no podrá aceptar conexiones basadas en tickets NTLM o Kerberos.
Dado que parece que su red pasó de tener 1 DC a tener múltiples, sospecho que la replicación entre ellos está teniendo problemas y eso debe resolverse primero en el lado de DC. Sin embargo, por su parte, probablemente tendrá que restablecer la contraseña de la cuenta de la máquina (por ejemplo, volver a unirse a los servidores).