web-dev-qa-db-ja.com

Samba 3.6.25「このワークステーションとプライマリドメイン間の信頼関係に失敗しました」エラーを修正するにはどうすればよいですか?

今日、私はプライマリ(そして唯一の)ドメインコントローラーでもあるUbuntuサーバーを、いくつかのセキュリティの脆弱性を修正した最新のSambaパッケージに更新しました。以下のパッケージが更新されました:

  • libpam-winbind:AMD64(3.6.3-2ubuntu2.17、3.6.25-0ubuntu0.12.04.2)
  • smbclient:AMD64(3.6.3-2ubuntu2.17、3.6.25-0ubuntu0.12.04.2)
  • libwbclient0:AMD64(3.6.3-2ubuntu2.17、3.6.25-0ubuntu0.12.04.2)
  • libpam-smbpass:AMD64(3.6.3-2ubuntu2.17、3.6.25-0ubuntu0.12.04.2)
  • samba-common:AMD64(3.6.3-2ubuntu2.17、3.6.25-0ubuntu0.12.04.2)
  • samba:AMD64(3.6.3-2ubuntu2.17、3.6.25-0ubuntu0.12.04.2)
  • winbind:AMD64(3.6.3-2ubuntu2.17、3.6.25-0ubuntu0.12.04.2)

  • samba-common-bin:AMD64(3.6.3-2ubuntu2.17、3.6.25-0ubuntu0.12.04.2)

(/var/log/apt/history.logから)

アップデート後、Windows 7または8.1 PCを再起動した全員がドメインにログインできなくなりました。表示されるエラーメッセージは、「このワークステーションとプライマリドメイン間の信頼関係に失敗しました」です。

私が最初に試みたのは、影響を受けるコンピューターをドメインから削除して、再度追加することでした。これはこの種の問題を解決するために使用されましたが、今回は解決されませんでした。このプロセス中にエラーは発生しませんでしたが、どちらも役に立ちませんでした。ドメインアカウントでのログインは引き続き失敗します。

ローカルアカウントでログインし、共有にアクセスすると正常に機能します。

次のエラーが/ var/log/samba/logに繰り返し書き込まれます。

[2016/04/19 11:49:09.975677、0] rpc_server/netlogon/srv_netlog_nt.c:976(_netr_ServerAuthenticate3)_netr_ServerAuthenticate3:netlogon_creds_server_checkが失敗しました。クライアントマシンアカウント$からの認証リクエストの拒否

これまでのところ、グーグルとBinging(Bingを使用)では、2つのヒットしか見つかりませんでした。

影響を受けるワークステーションの数はおそらく急速に増えるので、私は緊急に解決策が必要です。

ヒントはありますか?

編集:

私は一人じゃない: https://askubuntu.com/questions/759123/samba-23-6-25-0ubuntu0-12-04-2-as-pdc-samba3-nt4-domain-windows- machine-lost

しかし、今のところ、そこにも答えはありません。

5
dummzeuch

Ubuntuは次のアップデートでこの問題を修正したようです:

http://www.ubuntu.com/usn/usn-2950-3/

2016-05-04にリリースされました。

USN-2950-1はSambaの脆弱性を修正しました。 Samba 4.3.8で導入された修正により、特定のリグレッションと相互運用性の問題が発生しました。

このアップデートでは、Ubuntu 14.04 LTS、Ubuntu 15.10、Ubuntu 16.04 LTSのSamba 4.3.9にアップデートすることで、これらの問題の一部を解決しています。 Ubuntu 12.04 LTSのSamba 3.6.25に、バックポートされた回帰修正が追加されました。 "

私は今日それをインストールしました、そして問題は消えました。

1
dummzeuch

これまでの一時的な回避策として役立つのは、古いパッケージを再度インストールすることでした。私が選んだ方法は https://launchpad.net/ubuntu/+source/samba/2:3.6.3-2ubuntu2 から適切なリンクからファイルをダウンロードし、それを使用してインストールすることでした

dpkg -i libpam-smbpass_3.6.3-2ubuntu2.17_AMD64.deb libpam-winbind_3.6.3-2ubuntu2.17_AMD64.deb libwbclient0_3.6.3-2ubuntu2.17_AMD64.deb samba-common_3.6.3-2ubuntu2.17_all.deb samba_3.6.3-2ubuntu2.17_AMD64.deb winbind_3.6.3-2ubuntu2.17_AMD64.deb samba-common-bin_3.6.3-2ubuntu2.17_AMD64.deb

これにより以前の状態が復元され、すべてのワークステーションがユーザーを再度認証できるようになります。

私が言ったように:これは一時的な回避策です。更新プログラムはセキュリティ更新プログラムだったので、更新プログラムで機能するソリューションがまだ必要です。

3
dummzeuch

これは、最新のSambaアップデート(Badlockの脆弱性も修正したもの)で導入された回帰です。

一時的な解決策(ダウングレード以外)は、

server signing = auto

smb.conf内(後でsambaサービスを再起動することを忘れないでください)。残念ながら、これは私にとって既存のユーザーのログインのみを修正しました。これまでにドメインにログインしたことがない新しいユーザーには役に立ちませんでした(私がそれを正しく覚えている場合、これらの「利用可能なログオンサーバーはありません...」というメッセージが表示されました)。

RedHatで働いている1人のSamba男 彼らには有効な修正があると言います その問題について。 RedHatはすぐにその修正をリリースし、他のディストリビューションにも配布されると思います。

1
0x80

おそらく関連していて、そこに私の答えが表示されます: 更新後のSamba共有ユーザー/パスワードエラー

これが本当に解決策である場合は、この回答を更新します。

0
stack_horst

私が redhat から得た別の回避策があります:

Win 7またはWin 10を使用している場合は、ネットワークケーブルを取り外して(またはWiFiを無効にして)、ログインします。これは、ローカルログイン(ネットワークログインではない)に似ています。ログインしたら、ネットワークケーブルを接続し直して、通常どおりリソースを使用できます。また、システムがスリープ状態になるたびに再度ログインする必要がないように、パスワードを要求してスリープモードをオフにします。

私は試していませんが、うまくいくかもしれません。 (おそらくWindows 8(.1)でも動作します。)

0
dummzeuch