Назад | Перейти на главную страницу

Клиенты Windows не могут получить доступ к общему ресурсу Samba в AD присоединяются к Linux-серверу каждые 7 дней

Эта проблема:

Every 7 days, 2 Windows Servers are unable to access a SMB/CIFS share. It will start working after a handful of hours.

Среда:

Блок OpenFiler Linux присоединен к домену AD 2003

Foreground app on Win2003 server access the SMB/CIFS share with windows credentials

Another process on Win2008 access the share via SQL Server with windows credentials

The Samba version on the Linux box is 3.4.5.

Security is set to ADS

wbinfo and getent return back expected users and groups

Does not look to be a double hop issue as it's always the 2 accounts, regardless of the calling user.

There is a DNS entry in both forward and reverse lookup zone for the linux box

The linux box's computer object in active directory shows that it was modified around/at the same time that the two clients started failing to access the share

Trying to access the share via IP works when by name does not

Rebooting the Windows server takes care of it (it's production and only restarted it once)

Restarting smbd, winbind, nmbd had no effect

Error in samba log for the client in question: smbd/sesssetup.c:342(reply_spnego_kerberos) Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!

Вопрос:

Похоже ли, что пароль учетной записи компьютера меняется (следовательно, объект AD показывает обновленную дату изменения) или два клиента Windows не могут запросить новый билет, который работает с этим ящиком Linux?

Проверить pwdLastSet атрибут на объекте компьютера, чтобы проверить, не изменился ли пароль учетной записи компьютера; Я бы предположил, что это просто обновление какого-то другого атрибута (скажем, lastLogonTimestamp) что изменилось.

Держу пари, что это проблема с билетами Kerberos на устройстве OpenFiler; 7 дней - это максимальное время жизни по умолчанию в Active Directory, и OpenFiler, похоже, не может успешно получить новый билет в этом сообщении об ошибке.

Попробуйте изменить настройку срока действия билета и посмотрите, имеет ли это значение. В политике домена по умолчанию, Компьютер> Параметры Windows> Безопасность> Учетная запись> Kerberos, параметр «Максимальный срок действия для продления билета пользователя». Не совсем уверен, но подозреваю, что после внесения изменений потребуется перезапуск службы KDC.