今日、私はプライマリ(そして唯一の)ドメインコントローラーでもあるUbuntuサーバーを、いくつかのセキュリティの脆弱性を修正した最新のSambaパッケージに更新しました。以下のパッケージが更新されました:
winbind:AMD64(3.6.3-2ubuntu2.17、3.6.25-0ubuntu0.12.04.2)
samba-common-bin:AMD64(3.6.3-2ubuntu2.17、3.6.25-0ubuntu0.12.04.2)
(/var/log/apt/history.logから)
アップデート後、Windows 7または8.1 PCを再起動した全員がドメインにログインできなくなりました。表示されるエラーメッセージは、「このワークステーションとプライマリドメイン間の信頼関係に失敗しました」です。
私が最初に試みたのは、影響を受けるコンピューターをドメインから削除して、再度追加することでした。これはこの種の問題を解決するために使用されましたが、今回は解決されませんでした。このプロセス中にエラーは発生しませんでしたが、どちらも役に立ちませんでした。ドメインアカウントでのログインは引き続き失敗します。
ローカルアカウントでログインし、共有にアクセスすると正常に機能します。
次のエラーが/ var/log/samba/logに繰り返し書き込まれます。
[2016/04/19 11:49:09.975677、0] rpc_server/netlogon/srv_netlog_nt.c:976(_netr_ServerAuthenticate3)_netr_ServerAuthenticate3:netlogon_creds_server_checkが失敗しました。クライアントマシンアカウント$からの認証リクエストの拒否
これまでのところ、グーグルとBinging(Bingを使用)では、2つのヒットしか見つかりませんでした。
影響を受けるワークステーションの数はおそらく急速に増えるので、私は緊急に解決策が必要です。
ヒントはありますか?
編集:
しかし、今のところ、そこにも答えはありません。
Ubuntuは次のアップデートでこの問題を修正したようです:
http://www.ubuntu.com/usn/usn-2950-3/
2016-05-04にリリースされました。
USN-2950-1はSambaの脆弱性を修正しました。 Samba 4.3.8で導入された修正により、特定のリグレッションと相互運用性の問題が発生しました。
このアップデートでは、Ubuntu 14.04 LTS、Ubuntu 15.10、Ubuntu 16.04 LTSのSamba 4.3.9にアップデートすることで、これらの問題の一部を解決しています。 Ubuntu 12.04 LTSのSamba 3.6.25に、バックポートされた回帰修正が追加されました。 "
私は今日それをインストールしました、そして問題は消えました。
これまでの一時的な回避策として役立つのは、古いパッケージを再度インストールすることでした。私が選んだ方法は https://launchpad.net/ubuntu/+source/samba/2:3.6.3-2ubuntu2 から適切なリンクからファイルをダウンロードし、それを使用してインストールすることでした
dpkg -i libpam-smbpass_3.6.3-2ubuntu2.17_AMD64.deb libpam-winbind_3.6.3-2ubuntu2.17_AMD64.deb libwbclient0_3.6.3-2ubuntu2.17_AMD64.deb samba-common_3.6.3-2ubuntu2.17_all.deb samba_3.6.3-2ubuntu2.17_AMD64.deb winbind_3.6.3-2ubuntu2.17_AMD64.deb samba-common-bin_3.6.3-2ubuntu2.17_AMD64.deb
これにより以前の状態が復元され、すべてのワークステーションがユーザーを再度認証できるようになります。
私が言ったように:これは一時的な回避策です。更新プログラムはセキュリティ更新プログラムだったので、更新プログラムで機能するソリューションがまだ必要です。
これは、最新のSambaアップデート(Badlockの脆弱性も修正したもの)で導入された回帰です。
一時的な解決策(ダウングレード以外)は、
server signing = auto
smb.conf内(後でsambaサービスを再起動することを忘れないでください)。残念ながら、これは私にとって既存のユーザーのログインのみを修正しました。これまでにドメインにログインしたことがない新しいユーザーには役に立ちませんでした(私がそれを正しく覚えている場合、これらの「利用可能なログオンサーバーはありません...」というメッセージが表示されました)。
RedHatで働いている1人のSamba男 彼らには有効な修正があると言います その問題について。 RedHatはすぐにその修正をリリースし、他のディストリビューションにも配布されると思います。
おそらく関連していて、そこに私の答えが表示されます: 更新後のSamba共有ユーザー/パスワードエラー
これが本当に解決策である場合は、この回答を更新します。
私が redhat から得た別の回避策があります:
Win 7またはWin 10を使用している場合は、ネットワークケーブルを取り外して(またはWiFiを無効にして)、ログインします。これは、ローカルログイン(ネットワークログインではない)に似ています。ログインしたら、ネットワークケーブルを接続し直して、通常どおりリソースを使用できます。また、システムがスリープ状態になるたびに再度ログインする必要がないように、パスワードを要求してスリープモードをオフにします。
私は試していませんが、うまくいくかもしれません。 (おそらくWindows 8(.1)でも動作します。)