Samba4を1400のリモートサイトに展開しようとしている顧客向けのテスト環境をセットアップしていますが、問題が発生しています。結局のところ、問題にぶつかってそれを解決するのが私の仕事です。
特定のアカウントをRODCにキャッシュして、それらのアカウントをRODCに入力できるように、パスワードレプリケーションポリシーを構成しました。
sles-shire:~ # samba-tool rodc preload 'win7-shire$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]
sles-shire:~ # samba-tool rodc preload 'win7-shire-2$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[1]
sles-shire:~ # samba-tool rodc preload 'bilbo' --server main.adlab.netdirect.ca
Replicating DN CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]
I knowサイトリンクを削除すると、キャッシュされたユーザーでログインできますが、別のユーザーではログインできないため、これらの資格情報がRODCにキャッシュされていることを確認します。
michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U michael
Enter michael's password:
session setup failed: NT_STATUS_IO_TIMEOUT
michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U bilbo
Enter bilbo's password:
Domain=[MAIN] OS=[Unix] Server=[Samba 4.1.1-SerNet-SuSE-7.suse111]
smb: \> ls
. D 0 Mon Nov 18 16:09:44 2013
.. D 0 Mon Nov 18 16:11:15 2013
main.adlab.netdirect.ca D 0 Wed Nov 20 17:54:13 2013
したがって、認証は正常に機能しています。しかし、Windows 7 PC(WIN7-SHIRE)にログインしようとすると、次のエラーが発生します。
内部エラーが発生しました。
ジー。ありがとう。間違ったパスワードを使用すると、次のようになります。
ユーザー名またはパスワードが正しくありません。
したがって、認証は行われていますが、Windows 7は何かを好みません。これらのエラーはイベントログに表示され、この問題に関連していると思います。
セキュリティシステムは、サーバーldap /sles-shire.main.adlab.netdirect.caの認証エラーを検出しました。認証プロトコルKerberosの失敗コードは「内部エラーが発生しました。(0xc00000e5)」でした。
セキュリティシステムは、サーバーDNS /sles-shire.main.adlab.netdirect.caの認証エラーを検出しました。認証プロトコルKerberosの失敗コードは「内部エラーが発生しました。(0xc00000e5)」でした。
私がすでにログオンしていて、ネットワークサービスを試して使用する場合:
セキュリティシステムは、サーバーcifs /sles-shire.main.adlab.netdirect.caの認証エラーを検出しました。認証プロトコルKerberosの失敗コードは「内部エラーが発生しました。(0xc00000e5)」でした。
サーバー上の私のkrb5.conf:
[libdefaults]
default_realm = MAIN.ADLAB.NETDIRECT.CA
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
これが本当のキッカーです:
サイトリンクがpの場合でも、この動作は発生します。 RODCにキャッシュされているnotアカウントでドメインPCにログインできますが、RODCにある場合は、同じエラーが発生します。
ADDNSの適切なSRVレコードがすべて適切に配置されていることを確認しました。ブランチオフィスのWindows2008 R2 DCをRODCの役割に昇格させ、WindowsとSamba RODCの両方に適切なDNSレコードがすべて存在するようにすることで、これを確実にしました。
(sambaによってまだ追加されていないため、手動で追加する必要があるものもあります。
SRV _ldap._tcp.${SITE}._sites.DomainDnsZones.${DNSDOMAIN} ${HOSTNAME} 389
SRV _ldap._tcp.${SITE}._sites.ForestDnsZones.${DNSFOREST} ${HOSTNAME} 389
)(角かっこを閉じる必要があります)
それで…何が壊れているのか、どうすれば修正できますか?
> dsquery * "CN=SLES-SHIRE,OU=Domain Controllers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
servicePrincipalName
ldap/SLES-SHIRE;
ldap/4116d553-d66b-4c8b-9a60-90380ac69c04._msdcs.main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
Host/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca;
ldap/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
Host/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
RestrictedKrbHost/SLES-SHIRE.main.adlab.netdirect.ca;
RestrictedKrbHost/SLES-SHIRE;
GC/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
Host/SLES-SHIRE.main.adlab.netdirect.ca;Host/SLES-SHIRE;
> dsquery * "CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
servicePrincipalName
TERMSRV/WIN7-SHIRE.main.adlab.netdirect.ca;
TERMSRV/WIN7-SHIRE;
RestrictedKrbHost/WIN7-SHIRE;
Host/WIN7-SHIRE;
RestrictedKrbHost/WIN7-SHIRE.main.adlab.netdirect.ca;
Host/WIN7-SHIRE.main.adlab.netdirect.ca;
問題は、探索/テストインストールに関連するすべての行き止まりと配線の緩みに関係している可能性があるようです。
環境を復元し、実際の構成手順からADとRODCのセットアップをやり直した後、このシナリオは問題なく完全に機能しました。
ロングショットですが、試してみます。セキュリティレベルの設定に関して、win7とsambaベースのRODCの間にいくつかの非互換性があるように思われます。また、Win 7のデフォルトのセキュリティ設定は制限が厳しすぎて、sambaがサポートしていないと思います。ローカルポリシーを変更して、Win7のセキュリティ設定を緩和しようとします:[コンピューターの構成]-> [Windowsの設定]-> [セキュリティの設定]-> [ローカルポリシー]-> [セキュリティオプション]。
通常の容疑者には、以下が含まれますが、これらに限定されません。
Microsoftネットワーククライアント:通信にデジタル署名(サーバーが同意する場合)Microsoftネットワーククライアント:暗号化されていないパスワードをサードパーティに送信SMBサーバーネットワークセキュリティ:LAN Manager認証レベルネットワークセキュリティ:LDAPクライアント署名要件ネットワークセキュリティ:NTLMの最小セッションセキュリティSSPベース(セキュアRPCを含む)クライアントメッセージの機密性が必要NTLMv2セッションセキュリティが必要128ビット暗号化が必要