Добрый день,
У нас есть несколько HPC (RHEL, CentOS, Ubuntu), на которых запущены общие ресурсы samba, так что пользователь может легко передавать файлы туда и обратно. Около 3 месяцев назад DC/AD получили обновление, избыточность (2 сервера), и с тех пор наши общие ресурсы samba время от времени выходят из строя из-за:systemctl status smb
Теперь пароли не менялись, sssd по-прежнему позволяет пользователям домена входить в систему и не показывает ошибок. Это, должно быть, проблема kerberos/smb. С удовольствием поделюсь любыми файлами конфигурации, необходимыми для решения этой проблемы.
решение1
«Ошибка предварительной аутентификации» на языке Kerberos означает «Неправильный пароль».
Ваши журналы показывают, что сообщение относится кмашинаучетная запись (из-за того, что она названа ____$, что вы, к счастью, не отключили в своих журналах), так что в терминах Windows это ошибка «Нарушение доверительных отношений между этой рабочей станцией и основным доменом», потому что
Даже если вы говорите, что пароли не менялись, обычно хосты-члены AD меняют пароли учетных записей своих компьютеров.автоматическипо расписанию, примерно каждые 30 дней, поэтому получение этого сообщения, скорее всего, означает:
а) изменение пароля этого компьютера не было правильно реплицировано с контроллера домена AD, на котором оно было выполнено, на другие контроллеры домена, или б) контроллеры домена AD были восстановлены из резервных копий; это означает, что контроллеры домена по-прежнему ожидают старый пароль, в то время как компьютер пытается использовать новый.
Конкретное сообщение связано с тем, что ваш SSSD пытается подключиться к AD (вероятно, для получения информации об учетной записи пользователя), но тот же пароль учетной записи компьютера также используется для проверки билетов Kerberos для входящих подключений, поэтому, если он рассинхронизируется с AD, сервер больше не сможет принимать какие-либо подключения на основе билетов NTLM или Kerberos.
Поскольку, похоже, ваша сеть перешла от одного DC к нескольким, я бы предположил, что репликация между ними имеет проблемы, и это нужно решить сначала на стороне DC. Однако на вашей стороне вам, вероятно, придется сбросить пароль учетной записи машины (например, повторно присоединиться к серверам).