Сегодня я обновил наш сервер Ubuntu, который также является основным (и единственным) контроллером домена, до последних пакетов Samba, которые исправили несколько уязвимостей безопасности. Были обновлены следующие пакеты:
winbind: amd64 (3.6.3-2ubuntu2.17, 3.6.25-0ubuntu0.12.04.2)
samba-common-bin: amd64 (3.6.3-2ubuntu2.17, 3.6.25-0ubuntu0.12.04.2)
(из /var/log/apt/history.log)
После обновления все, кто перезагружал свой компьютер с Windows 7 или 8.1, больше не могли войти в домен. Отображаемое сообщение об ошибке: «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом».
Первым делом я попытался удалить зараженный компьютер из домена и добавить его снова. Раньше это решало подобные проблемы, но не в этот раз. Во время этого процесса не было ошибок, но это тоже не помогло: вход в систему с учетной записью домена по-прежнему не выполняется.
Вход в систему с локальной учетной записью, а затем доступ к общим ресурсам работает нормально.
Следующая ошибка неоднократно записывается в / var / log / samba / log.
[2016/04/19 11: 49: 09.975677, 0] Ошибка rpc_server / netlogon / srv_netlog_nt.c: 976 (_netr_ServerAuthenticate3) _netr_ServerAuthenticate3: netlogon_creds_server_check. Отклонение запроса аутентификации от учетной записи клиентской машины $
Googling и Binging (с использованием Bing) пока нашли только два совпадения без решения.
Мне срочно нужно решение, потому что количество пострадавших рабочих станций, вероятно, будет быстро расти.
Есть подсказки?
Редактировать:
Я не одинок: https://askubuntu.com/questions/759123/samba-23-6-25-0ubuntu0-12-04-2-as-pdc-samba3-nt4-domain-windows-machines-lost
Но пока и там ответов нет.
Что помогло в качестве временного решения, так это повторная установка старых пакетов. Я выбрал метод загрузки файлов по соответствующим ссылкам из https://launchpad.net/ubuntu/+source/samba/2:3.6.3-2ubuntu2 а затем установить их с помощью
dpkg -i libpam-smbpass_3.6.3-2ubuntu2.17_amd64.deb libpam-winbind_3.6.3-2ubuntu2.17_amd64.deb libwbclient0_3.6.3-2ubuntu2.17_amd64.deb samba-common_3.6.3-2ubuntu2.17_all.deb samba_3.6.3-2ubuntu2.17_amd64.deb winbind_3.6.3-2ubuntu2.17_amd64.deb samba-common-bin_3.6.3-2ubuntu2.17_amd64.deb
Это восстановило предыдущее состояние, все рабочие станции могли снова аутентифицировать пользователей.
Как я уже сказал: это временное решение. Поскольку это обновление было обновлением безопасности, мне все еще нужно решение, работающее с этим обновлением.
Ubuntu, похоже, исправил эту проблему с помощью следующего обновления:
http://www.ubuntu.com/usn/usn-2950-3/
выпущено 4 мая 2016 г.
USN-2950-1 исправил уязвимости в Samba. Исправления, внесенные в Samba 4.3.8, вызвали определенные регрессии и проблемы совместимости.
Это обновление решает некоторые из этих проблем путем обновления до Samba 4.3.9 в Ubuntu 14.04 LTS, Ubuntu 15.10 и Ubuntu 16.04 LTS. Исправления регрессии были добавлены в Samba 3.6.25 в Ubuntu 12.04 LTS ".
Я установил его сегодня, и проблема исчезла.
Это регресс, появившийся в последних обновлениях Samba (в которых также была исправлена уязвимость Badlock).
Временным решением (кроме перехода на более раннюю версию) может быть установка
server signing = auto
в вашем smb.conf (не забудьте после этого перезапустить службу samba). К сожалению, для меня это только исправило логины для существующих пользователей. Это не помогло новым пользователям, которые никогда раньше не входили в домен (если я правильно помню, для них я получил сообщение «Нет доступных серверов входа ...»).
Один парень, занимающийся Samba, работает в RedHat говорит, что у них есть исправление для этой проблемы. Я думаю, что RedHat скоро выпустит это исправление, и я ожидаю, что оно будет распространено и для других дистрибутивов.
возможно, связаны и посмотрите мой ответ там: Ошибка пользователя / пароля Samba Share после обновления
Я обновлю этот ответ, если это действительно решение.
Я получил еще одно решение Красная Шапка:
Если вы используете Win 7 или Win 10, просто отсоедините сетевой кабель (или отключите WiFi), затем войдите в систему. Это похоже на локальный вход в систему (в отличие от входа в сеть). После входа в систему вы можете снова подключить сетевой кабель и использовать свои ресурсы в обычном режиме. Кроме того, выключите спящий режим, указав пароль, чтобы вам не приходилось снова входить в систему каждый раз, когда ваша система переходит в спящий режим.
Я не пробовал, но может сработать. (Вероятно, это также работает для Windows 8 (.1).)