Назад | Перейти на главную страницу

Мне нужно вручную перезапускать winbind.service после каждой перезагрузки. Ubuntu 18.04

ТАК. Ubuntu 18.04.4, Версия Samba 4.7.6-Ubuntu

У меня с этой машиной такая проблема. Всякий раз, когда система перезагружается, winbind.service не запускается должным образом и возникает ошибка "Слишком большой перекос часов" записывается в журналы.

журнал winbind:

[2020/02/17 17:25:12.840317,  0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)
  initialize_winbindd_cache: clearing cache and re-creating with version number 2
[2020/02/17 17:25:12.879543,  0] ../lib/util/become_daemon.c:124(daemon_ready)
  STATUS=daemon 'winbindd' finished starting up and ready to serve connections
[2020/02/17 17:25:18.175567,  0] ../source3/librpc/crypto/gse.c:532(gse_get_client_auth_token)
  gse_get_client_auth_token: gss_init_sec_context failed with [ Miscellaneous failure (see text): Clock skew too great](2529638949)
[2020/02/17 17:25:18.397020,  0] ../source3/librpc/crypto/gse.c:532(gse_get_client_auth_token)
  gse_get_client_auth_token: gss_init_sec_context failed with [ Miscellaneous failure (see text): Clock skew too great](2529638949)
[2020/02/17 17:25:18.909264,  0] ../source3/librpc/crypto/gse.c:532(gse_get_client_auth_token)
  gse_get_client_auth_token: gss_init_sec_context failed with [ Miscellaneous failure (see text): Clock skew too great](2529638949)

После запуска машины я могу вручную systemctl restart winbind и все начинается без проблем.

Я проверил все возможные конфигурации, и вроде все в порядке. Также я воссоздал машину с нуля.

Я настроил клиент синхронизации времени chrony, а также попробовал использовать systemd-timesync. Машина по сути синхронизирована, когда я ее проверяю.

Я также пытался редактировать /lib/systemd/system/winbind.service добавив After = chrony.service, но это не имеет значения.

В DC ​​хрони показывает, что клиенты подключены:

Hostname                      NTP   Drop Int IntL Last     Cmd   Drop Int  Last
===============================================================================
smb1.domain.club               181      0   6   -    36       0      0   -     -
giorgilaptop.domain.club         3      0  12   -   40m       0      0   -     -
plex.domain.club               110      0   6   -     0       0      0   -     -

В машине, которая выходит из строя, также отображается правильный источник

localuser@smb1:~$ sudo chronyc sources
210 Number of sources = 1
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* dc1.domain.club                2   6   377    47    -12us[  -17us] +/-   20ms

Машина была создана следующим образом:

https://wiki.samba.org/index.php/Setting_up_Samba_as_a_Domain_Member

https://wiki.samba.org/index.php/Time_Synchronisation#Configuring_Time_Synchronisation_on_a_Unix_Domain_Member

РЕДАКТИРОВАТЬ: По-видимому, это происходит, когда виртуальная машина работает в ESXI 6.7 на моем сервере. Я загрузил виртуальную машину на рабочую станцию ​​wmware, и winbind запускается без каких-либо проблем. Это должно быть каким-то образом связано с esxi и синхронизацией времени.

вы справились с проблемой в краткосрочной перспективе, но основная проблема все еще существует, поскольку вы не устранили реальную проблему и вызвали проблему безопасности внутри сети

Проблема

Ваши клиенты linux не могут подключиться к AD после перезагрузки

Причина

Когда используется winbind, клиент, пытающийся подключиться к AD, должен быть синхронизирован с временем AD, отличаясь не более чем на 5 минут.

Ваше решение не работает полностью, потому что

Предоставленное вами решение работает только тогда, когда установлены vmtools, иначе эта проблема повторяется, поскольку виртуальная машина не может получить время со своего хоста.

Проблема безопасности вызвана

указав хосты AD и ESXi, напрямую указывая им на общедоступные NTP, у вас возникнет проблема безопасности, которая не рекомендуется Microsoft или VMware.

Я бы предложил установить сервер NTP и направить все хосты AD и ESX на внутренний сервер NTP, и если какие-либо клиенты не имеют vmtools, вы можете сопоставить их с внутренним NTP.

Задача решена.

Если вы используете Vmware ESXi, как и я, вам необходимо включить синхронизацию ntp в настройках ESXi, чтобы она начиналась с хоста, и добавить те же пулы, которые ваш контроллер домена настроил на сервере ntp.

Затем для каждой виртуальной машины, которая является членом домена, вы должны включить в параметрах инструментов vmware синхронизацию времени между гостевой машиной и хостом.