У нас есть домен Windows, в котором также есть рядовой сервер RHEL. Все серверы имеют основное сетевое подключение к локальной сети, но некоторые серверы также имеют частные выделенные ссылки на сервер RHEL, который служит головкой для нашего хранилища SAN.
Этот конкретный сервер работает под управлением Samba 3.5.15 и работает в режиме аутентификации ADS.
Пользователи могут получить доступ к общим ресурсам на этом сервере без проблем через подключение к локальной сети с наших серверов Windows, но если пользователь пытается получить доступ к общим ресурсам через частную ссылку (т.е. адрес 192.168.1.2 к серверу RHEL), пользователи получают сообщение об ошибке "The доверительные отношения между этой рабочей станцией и основным доменом не удалось. "
Когда я смотрю логи, я получаю много ошибок, которые вы увидите повсюду в Интернете - одна из тех ситуаций, когда ничего не подходит конкретно моей ситуации. Тем не менее они здесь, может быть, кто-то увидит то, чего я не вижу:
Я трижды совмещаю эти две ошибки:
Failed to get schannel session key from server DC for domain DOMAIN
connect_to_domain_password_server: unable to open the domain client session to machine DC - NT_STATUS_ACCESS_DENIED
Тогда я получаю эти две ошибки:
domain_client_validate: Domain password server not available
check_ntlm_password: Authentication for user <the user trying to access the share> FAILED with error NT_STATUS_TRUSTED_RELATIONSHIP_FAILURE
Затем этот набор ошибок повторяется по три раза при каждой попытке доступа.
Это может быть очень специфический случай, и я хотел бы получить лучший ответ, но сегодня я потратил на это еще несколько часов и заметил, что Winbind отключен. Я знаю, что winbind работал раньше, так как я успешно проходил аутентификацию с помощью wbinfo -a. В то время мы все еще не могли получить доступ к Samba по частным ссылкам.
Как бы то ни было, после включения Winbind частные ссылки волшебным образом начали работать. Разумеется, его выключение снова сломало их.
Однако все время я мог получить доступ к общим ресурсам через основное подключение к локальной сети. Я все равно дам 50 баллов любому, кто сможет объяснить, почему это так: D
Поскольку Active Directory использует Kerberos для аутентификации, похоже, что ошибки могут быть связаны с обратным именем частного IP-адреса, не совпадающим с именем, с которым ваш сервер RHEL присоединился к домену. Если вы установите обратный DNS 192.168.1.2 в соответствии с именем хоста сервера, вы можете решить свои проблемы.