У меня есть Samba-член Windows AD. Я использую комбинацию sssd и winbind. Samba управляет изменениями машинных паролей, а также настроена на обновление паролей, используемых sssd. (Обновление машинного пароля, которое обычно выполняется sssd выключен.)
Проблема проявляется на файловом сервере Samba. banas с этой ошибкой:
net ads changetrustpw
Changing password for principal: banas$@CONTOSO.COM
Password change failed: No more connections can be made to this remote computer at this time because the computer has already accepted the maximum number of connections.
Я не могу найти каких-либо полезных совпадений с этим сообщением об ошибке через Google (все, что я видел, похоже, относится либо к Windows XP, либо к другим настольным системам Windows, пытающимся предложить общий сетевой ресурс слишком большому количеству клиентов).
Доверие в порядке, поскольку я могу просматривать акции, предлагаемые Samba, wbinfo -i возвращает разумную и ожидаемую информацию для нелокальных учетных записей AD, и net ads testjoin возвращает ожидаемый Join is OK.
Я включил отладку на changetrustpw команда, но на меня ничего не выскакивает. Подключение к DC выполняется успешно, и следуют переговоры, но снова с последней ошибкой.
Для управления AD используются контроллеры домена, изначально работающие под управлением Windows 2012 R2, но постепенно обновляющиеся до Windows 2016.
Соответствующий фрагмент из smb.conf
[global]
server string Fileserver
server role = member server
server services = -dns
workgroup = CONTOSO
realm = CONTOSO.COM
security = ADS
encrypt passwords = yes
kerberos method = secrets and keytab
client ldap sasl wrapping = sign
passdb backend = tdbsam
idmap config CONTOSO : backend = sss
idmap config CONTOSO : range = 800000000-899999999
idmap config * : backend = tdb
idmap config * : range = 100000000-199999999
Соответствующий фрагмент из sssd.conf
[domain/contoso.com]
ad_domain = contoso.com
ad_hostname = banas.contoso.com
krb5_realm = CONTOSO.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
ad_domain = contoso.com
krb5_realm = CONTOSO.COM
use_fully_qualified_names = False
fallback_homedir = /home/DOMAIN=CONTOSO/%u
access_provider = permit
ldap_group_nesting_level = 5
ldap_use_tokengroups = false
ad_maximum_machine_account_password_age = 0
Я запутался, но последовательно. Для целей этого вопроса мой домен CONTOSO, contoso.com.
Ничего не записывается в файлы журнала Samba или sssd во время changetrustpw попытка. Такая же конфигурация работает, как и ожидалось, на других участниках Samba. Debian "Stretch" во всех трех случаях, если это актуально.
По запросу могу добавить дополнительные детали - на данном этапе просто не знаю, что еще было бы полезно.
Если кто-нибудь может предложить мне лекарство (или если это не поможет мне обратиться к другим ресурсам, которые могут помочь мне диагностировать и исправить это), я был бы очень благодарен.