设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 手机 数据 公司
当前位置: 首页 > 服务器 > 搭建环境 > Windows > 正文

active-directory – Win7客户端在samba4 RODC上使用缓存凭据失

发布时间:2020-12-30 14:41 所属栏目:117 来源:网络整理
导读:我正在为客户建立一个测试环境,将samba4部署到1400个远程站点,我遇到了问题.毕竟,这是我的工作,遇到问题然后解决它们. 活动目录 森林根单域:main.adlab.netdirect.ca 在Windows 2008 R2上创建 2008 FFL 2008年DFL 总公司 AD1:Windows 2008 R2 DC AD2:Wind

我正在为客户建立一个测试环境,将samba4部署到1400个远程站点,我遇到了问题.毕竟,这是我的工作,遇到问题然后解决它们.

活动目录

>森林根&单域:main.adlab.netdirect.ca
>在Windows 2008 R2上创建
> 2008 FFL
> 2008年DFL

总公司

> AD1:Windows 2008 R2 DC
> AD2:Windows 2008 R2 DC
> Windows 7 Professional客户端

分支机构

> SLES11SP2(完全更新!)与Samba 4(来自sernet的4.1.1-7.suse111包)
> Samba 4配置为RODC

我已配置密码复制策略以允许某些帐户缓存在RODC上,然后将这些帐户填充到RODC:

sles-shire:~ # samba-tool rodc preload 'win7-shire$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE,DC=ca] objects[1] linked_values[2]

sles-shire:~ # samba-tool rodc preload 'win7-shire-2$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE-2,DC=ca
Exop on[CN=WIN7-SHIRE-2,DC=ca] objects[1] linked_values[1]

sles-shire:~ # samba-tool rodc preload 'bilbo' --server main.adlab.netdirect.ca
Replicating DN CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=ca
Exop on[CN=Bilbo Baggins,DC=ca] objects[1] linked_values[2]

我知道这些凭据正在缓存在RODC上,因为如果我删除站点链接,我可以使用缓存用户登录,但不能使用其他用户:

michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U michael
Enter michael's password: 
session setup failed: NT_STATUS_IO_TIMEOUT

michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U bilbo
Enter bilbo's password: 
Domain=[MAIN] OS=[Unix] Server=[Samba 4.1.1-SerNet-SuSE-7.suse111]
smb: \&; ls
  .                                   D        0  Mon Nov 18 16:09:44 2013
  ..                                  D        0  Mon Nov 18 16:11:15 2013
  main.adlab.netdirect.ca             D        0  Wed Nov 20 17:54:13 2013

因此身份验证工作正常!但是当我尝试登录Windows 7 PC(WIN7-SHIRE)时,我收到错误消息:

An internal error has occurred.

啧啧.谢谢.如果我使用的密码不正确,我会得到:

The user name or password is incorrect.

因此身份验证正在发生,但Windows 7不喜欢某些东西.我在事件日志中看到这些错误,我认为它们与此问题相关:

The Security System detected an authentication error for the server ldap/sles-shire.main.adlab.netdirect.ca. The failure code from authentication protocol Kerberos was “An internal error occurred. (0xc00000e5)”.

The Security System detected an authentication error for the server DNS/sles-shire.main.adlab.netdirect.ca. The failure code from authentication protocol Kerberos was “An internal error occurred. (0xc00000e5)”.

如果我已经登录并尝试使用网络服务,我会得到:

The Security System detected an authentication error for the server cifs/sles-shire.main.adlab.netdirect.ca. The failure code from authentication protocol Kerberos was “An internal error occurred. (0xc00000e5)”.

我在服务器上的krb5.conf:

[libdefaults]
    default_realm = MAIN.ADLAB.NETDIRECT.CA
    dns_lookup_realm = true
    dns_lookup_kdc = true

[realms]

[logging]
    kdc = FILE:/var/log/krb5/krb5kdc.log
    admin_server = FILE:/var/log/krb5/kadmind.log
    default = SYSLOG:NOTICE:DAEMON

这是真正的踢球者:

站点链接启动时仍会出现此问题.我可以使用未在RODC上缓存的帐户登录到域PC,但如果它们在RODC上,我会收到相同的错误.

我确保AD DNS中的所有适当的SRV记录都已到位.我通过将分支机构中的Windows 2008 R2 DC升级为RODC角色并确保Windows和Samba RODC都存在所有适当的DNS记录来确保这一点.

(有些是必须手动添加,因为它们还没有被samba添加:

SRV _ldap._tcp.${SITE}._sites.DomainDnsZones.${DNSDOMAIN} ${HOSTNAME} 389
SRV _ldap._tcp.${SITE}._sites.ForestDnsZones.${DNSFOREST} ${HOSTNAME} 389

)(必须关闭括号)

那么…什么坏了,我该如何解决?

SPN信息

> dsquery * "CN=SLES-SHIRE,OU=Domain Controllers,DC=ca" -attr servicePrincipalName
  servicePrincipalName
  ldap/SLES-SHIRE;
  ldap/4116d553-d66b-4c8b-9a60-90380ac69c04._msdcs.main.adlab.netdirect.ca;
  ldap/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
  HOST/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
  ldap/SLES-SHIRE.main.adlab.netdirect.ca;
  ldap/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
  HOST/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
  RestrictedKrbHost/SLES-SHIRE.main.adlab.netdirect.ca;
  RestrictedKrbHost/SLES-SHIRE;
  GC/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
  HOST/SLES-SHIRE.main.adlab.netdirect.ca;HOST/SLES-SHIRE;

> dsquery * "CN=WIN7-SHIRE,DC=ca" -attr servicePrincipalName
  servicePrincipalName
  TERMSRV/WIN7-SHIRE.main.adlab.netdirect.ca;
  TERMSRV/WIN7-SHIRE;
  RestrictedKrbHost/WIN7-SHIRE;
  HOST/WIN7-SHIRE;
  RestrictedKrbHost/WIN7-SHIRE.main.adlab.netdirect.ca;
  HOST/WIN7-SHIRE.main.adlab.netdirect.ca;
这是一个很长的镜头,但我会尝试:在我看来,在安全级别设置方面,win7和基于samba的RODC之间存在一些不兼容性.我还假设win 7上的某些默认安全设置太严格,以至于samba不支持.我将尝试通过更改本地策略来放松win 7上的安全设置:计算机配置 – > Windows设置 – >安全设置 – >本地策略 – >安全选项.

通常的嫌疑人包括但不限于:

(编辑:ASP站长网)
相关内容
网友评论
推荐文章
    热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱nqiang002@foxmail.com我们将及时予以处理。

      建议您使用1366×768 分辨率、Microsoft Internet Explorer 11浏览器以获得本站的出色浏览效果

      Copygight © 2008-2023 http://www.aspzz.cn All Rights Reserved. ASP站长网

      站长:nqiang002#foxmail.com(请把#换成@)