再會,
我們有多個 HPC(RHEL、CentOS、Ubuntu)運行 samba 共享,以便用戶可以輕鬆地來回傳輸檔案。大約 3 個月前,DC/AD 進行了刷新、冗餘(2 個伺服器),從那時起,我們的 samba 共享偶爾會因以下原因而失敗:systemctl status smb
現在,密碼沒有更改,sssd 仍然允許網域使用者登入並且沒有顯示任何錯誤。這一定是 kerberos/smb 問題。很高興分享嘗試解決此問題所需的任何設定檔。
答案1
「預先驗證失敗」是 Kerberos 中「密碼錯誤」的意思。
您的日誌顯示該訊息與機器帳戶(由於它被命名為____$,幸運的是您沒有在日誌中將其刪除),因此在 Windows 術語中,這是「此工作站與主網域之間的信任關係失敗」錯誤,因為
即使你說沒有更改密碼,但一般AD成員主機都會更改其機器帳戶密碼自動地按計劃,每 30 天左右一次,因此收到此訊息可能意味著:
a) 該電腦的密碼變更未正確地從 AD 網域控制站複製到其他 DC,或 b) AD DC 已從備份中復原;這意味著當機器嘗試使用新密碼時,DC 仍然期望使用舊密碼。
具體訊息是由於您的 SSSD 嘗試連接到 AD(可能是為了獲取用戶帳戶資訊),但相同的電腦帳戶密碼也用於驗證傳入連接的 Kerberos 票證,因此如果它與 AD 不同步,伺服器將無法再接受任何基於NTLM 或Kerberos 票證的連線。
由於聽起來您的網路從擁有 1 個 DC 變為擁有多個 DC,因此我有點懷疑它們之間的複製存在問題,需要先在 DC 端解決。不過,在您這邊,您可能必須重設電腦帳戶密碼(例如重新加入伺服器)。