도메인에 가입한 TS809U가 있습니다. 공유 및 액세스 권한은 도메인 사용자에게 필요한 대로 작동하며 모든 것이 원래대로 작동합니다. 하지만 몇 주/한 달 후에 도메인 사용자와 그룹이 TS809에서 사라지고 수동으로 도메인에 다시 가입해야 합니다. 도메인에 다시 가입한 후 동일한 기간 내에 프로세스가 반복되므로 도메인에 다시 가입해야 합니다.
웹 인터페이스의 로그에는 오류가 없으며 NAS가 도메인에 성공적으로 가입한 것으로 표시됩니다. 문제가 해결되길 바라면서 TS809U를 최신 펌웨어 4.0.3(3.x부터)으로 업데이트했지만 문제는 여전히 지속됩니다.
이전에 이 문제를 겪은 사람이 있습니까? 문제가 무엇인지 또는 추가로 문제를 해결하는 방법은 무엇입니까?
NAS를 참조하는 이벤트 뷰어에서 찾을 수 있었던 유일한 메시지는 아래 설명의 방향을 가리킬 수 있는 5722입니다.
컴퓨터의 세션 설정이
NASC473CD인증에 실패했습니다. 보안 데이터베이스에서 참조되는 계정의 이름은 입니다NASC473CD$.
다음 오류가 발생했습니다:
액세스가 거부되었습니다.
항목이 사라진 후 다시 나타나는 데 걸리는 시간은 14일인 것으로 보입니다. 우리 도메인은 (여전히) Windows Server 2003을 기반으로 합니다.
업데이트
업데이트: 문제가 다시 표면화되었지만 로그에는 실제로 흥미로운 내용이 표시되지 않았습니다.wbinfo -t(신뢰 비밀 테스트)작동하지 않았고 (놀랍지도 않게) 작동하지 않았습니다.wbinfo -c(신뢰 비밀 변경). 나는 현재 kerberos5 티켓 스토어가 새로 고쳐지지 않았고 kerberos 티켓의 유효 기간이 만료되어 연결되었을 수 있음을 발견했습니다. 이제 그것이 도움이 될지 알아보기 위해 crontab에 추가했습니다 /sbin/update_krb5_ticket(그리고 매시간 새로 고쳐지고 있습니다).
업데이트 2014-02-25
아직도 성공하지 못했습니다. log.wb-DOMAINNAME시간 초과된 자격 증명이나 유효하지 않은 비밀로 인해 액세스가 분명히 거부되고 있음을 보여줍니다. Kerberos 티켓 목록( klist)에 티켓이 발생했을 때 유효한 티켓이 표시되었으므로 어떻게 진행해야 할지 잘 모르겠습니다 .
log.wb-DOMAINNAME쇼:
[2014/02/25 03:05:20.545176, 3] winbindd/winbindd_pam.c:1902(winbindd_dual_pam_auth_crap)
could not open handle to NETLOGON pipe (error: NT_STATUS_ACCESS_DENIED)
[2014/02/25 03:05:20.545198, 2] winbindd/winbindd_pam.c:2003(winbindd_dual_pam_auth_crap)
NTLM CRAP authentication for user [DOMAINNAME]\[MACHINE$] returned NT_STATUS_ACCESS_DENIED (PAM: 4)
[2014/02/25 03:05:20.548424, 3] winbindd/winbindd_pam.c:1841(winbindd_dual_pam_auth_crap)
[20497]: pam auth crap domain: DOMAINNAME user: MACHINE$
(사용자를 참조할 때에도 동일한 오류 메시지가 나타납니다.) 적어도 문제는 내가 이해하는 한 ACCESS_DENIED삼바가 리소스를 사용하려고 할 때 서버가 응답하는 것 같습니다 . NETLOGON그러나 TS809의 DNS 서버 중 하나가 도메인의 서버가 아닌 외부 서버로 설정되어 있다는 것을 발견했습니다. 원인이 될 수 있는지 확인하기 위해 둘 다 AD DC를 가리키도록 DNS 서버를 업데이트했습니다(외부 서버로 넘어간 경우 내부 도메인 기반 호스트에 대한 시간 초과 대신 호스트를 찾을 수 없음). .
2015-03-04 업데이트. 해결 방법으로 배포된 자동 재참여 스크립트입니다.
지속적인 해결책을 결정하는 데 아직 더 가까워지지 않았지만 현재 매주 시간 초과가 발생하고 있습니다. 유효한 Kerberos 티켓과 동일한 시간인 것 같지만 이를 변경하는 설정을 찾을 수 없습니다.
그러나 도메인에서 사용자 목록이 손실되었는지 확인하고 필요한 경우 서버에 다시 참여하는 작은 스크립트를 만들었습니다. (삼바를 사용하여net rpc join명령.) "사용자 이름"은 컴퓨터를 도메인에 가입시킬 수 있는 액세스 권한이 있는 도메인의 사용자입니다(우리는 이 목적으로만 qnap용 사용자를 만들었습니다):
COUNT=`wbinfo -g | grep DOMAINNAME | wc -l`
if [ "$COUNT" -lt "1" ]
then
/usr/local/samba/bin/net rpc join -Uusername%password
fi
이 스크립트는 cron을 사용하여 qnap에서 실행됩니다(cron을 올바르게 설정하는 방법은 Google에서 qnap cron을 검색하세요). 이것은 지난 몇 달 동안 괜찮게 작동했습니다.
답변1
나에게 컴퓨터 계정 비밀번호에 문제가 있는 것 같습니다. 2k3 도메인의 설계상 재설정은 30일마다 생성되지만 시스템 계정 비밀번호 재설정은 원할 때마다 클라이언트에 의해 트리거될 수 있습니다.
일반적으로 회원은 먼저 새 비밀번호를 만든 다음 이를 DC로 가져옵니다.
어떤 이유로든 qnap이 2주 후에 새 비밀번호를 생성하지만 보안 채널이 손상되어 DC로 푸시할 수 없는 것처럼 보입니다.
qnap이 제공하는 기능을 모르겠습니다. SSH를 통해 로그인할 수 있습니까? 유닉스 기반 시스템인 것 같아요?! 어쩌면 컴퓨터 계정 비밀번호를 비활성화하는 옵션이 있을 수도 있습니다. 30일이 지나도 신뢰는 작동을 멈추지 않습니다.
흥미로울 수도 있습니다: 링크 모음: