안녕하세요,
사용자가 쉽게 파일을 주고받을 수 있도록 삼바 공유를 실행하는 여러 HPC(RHEL, CentOS, Ubuntu)가 있습니다. 약 3개월 전에 DC/AD에 새로 고침, 중복성(서버 2개)이 적용되었고 그 이후로 삼바 공유가 산발적으로 실패했습니다.systemctl status smb
이제 비밀번호는 변경되지 않았으며 sssd는 여전히 도메인 사용자의 로그인을 허용하고 오류를 표시하지 않습니다. kerberos/smb 문제일 것입니다. 이 문제를 해결하는 데 필요한 구성 파일을 공유해 드리겠습니다.
답변1
"사전 인증 실패"는 Kerberos에서 말하는 "잘못된 비밀번호"입니다.
로그에 메시지가 다음과 관련되어 있음이 표시됩니다.기계계정(이름이 로 지정되어 있기 때문에 ____$다행히 로그에서 잘리지 않았음) Windows 용어로 이것은 "이 워크스테이션과 기본 도메인 간의 신뢰 관계에 실패했습니다." 오류입니다.
비밀번호가 변경되지 않았다고 말하더라도 일반적으로 AD 구성원 호스트는 컴퓨터 계정 비밀번호를 변경합니다.자동으로일정에 따라 30일마다 이 메시지를 받는 것은 다음과 같은 의미일 수 있습니다.
a) 이 컴퓨터의 암호 변경 사항이 AD 도메인 컨트롤러에서 다른 DC로 올바르게 복제되지 않았거나 b) AD DC가 백업에서 복원되었습니다. 이는 컴퓨터가 새 암호를 사용하려고 하는 동안 DC가 여전히 이전 암호를 기대한다는 의미입니다.
특정 메시지는 SSSD가 AD에 연결을 시도하기 때문에 발생하지만(아마도 사용자 계정 정보를 가져오기 위해) 동일한 시스템 계정 비밀번호가 들어오는 연결에 대한 Kerberos 티켓을 확인하는 데에도 사용되므로 AD에서 동기화가 해제되면 서버는 더 이상 NTLM 또는 Kerberos 티켓 기반 연결을 허용할 수 없습니다.
네트워크가 1개의 DC에서 여러 개의 DC로 이동한 것처럼 들리므로 이들 간의 복제에 문제가 있는 것으로 의심되며 먼저 DC 측에서 해결해야 합니다. 하지만 귀하 쪽에서는 컴퓨터 계정 비밀번호를 재설정해야 할 수도 있습니다(예: 서버에 다시 가입).