微信公众号搜"智元新知"关注
微信扫一扫可直接关注哦!

active-directory – Win7客户端在samba4 RODC上使用缓存凭据失败

我正在为客户建立一个测试环境,将samba4部署到1400个远程站点,我遇到了问题.毕竟,这是我的工作,遇到问题然后解决它们.

活动目录

>森林根&单域:main.adlab.netdirect.ca
>在Windows 2008 R2上创建
> 2008 FFL
> 2008年DFL

总公司

> AD1:Windows 2008 R2 DC
> AD2:Windows 2008 R2 DC
> Windows 7 Professional客户端

分支机构

> SLES11SP2(完全更新!)与Samba 4(来自sernet的4.1.1-7.suse111包)
> Samba 4配置为RODC

我已配置密码复制策略以允许某些帐户缓存在RODC上,然后将这些帐户填充到RODC:

sles-shire:~ # samba-tool rodc preload 'win7-shire$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE,DC=ca] objects[1] linked_values[2]

sles-shire:~ # samba-tool rodc preload 'win7-shire-2$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE-2,DC=ca
Exop on[CN=WIN7-SHIRE-2,DC=ca] objects[1] linked_values[1]

sles-shire:~ # samba-tool rodc preload 'bilbo' --server main.adlab.netdirect.ca
Replicating DN CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=ca
Exop on[CN=Bilbo Baggins,DC=ca] objects[1] linked_values[2]

我知道这些凭据正在缓存在RODC上,因为如果我删除站点链接,我可以使用缓存用户登录,但不能使用其他用户

michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U michael
Enter michael's password: 
session setup Failed: NT_STATUS_IO_TIMEOUT

michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U bilbo
Enter bilbo's password: 
Domain=[MAIN] OS=[Unix] Server=[Samba 4.1.1-SerNet-SuSE-7.suse111]
smb: \> ls
  .                                   D        0  Mon Nov 18 16:09:44 2013
  ..                                  D        0  Mon Nov 18 16:11:15 2013
  main.adlab.netdirect.ca             D        0  Wed Nov 20 17:54:13 2013

因此身份验证工作正常!但是当我尝试登录Windows 7 PC(WIN7-SHIRE)时,我收到错误消息:

An internal error has occurred.

啧啧.谢谢.如果我使用的密码不正确,我会得到:

The user name or password is incorrect.

因此身份验证正在发生,但Windows 7不喜欢某些东西.我在事件日志中看到这些错误,我认为它们与此问题相关:

The Security System detected an authentication error for the server ldap/sles-shire.main.adlab.netdirect.ca. The failure code from authentication protocol Kerberos was “An internal error occurred. (0xc00000e5)”.

The Security System detected an authentication error for the server DNS/sles-shire.main.adlab.netdirect.ca. The failure code from authentication protocol Kerberos was “An internal error occurred. (0xc00000e5)”.

如果我已经登录并尝试使用网络服务,我会得到:

The Security System detected an authentication error for the server cifs/sles-shire.main.adlab.netdirect.ca. The failure code from authentication protocol Kerberos was “An internal error occurred. (0xc00000e5)”.

我在服务器上的krb5.conf:

[libdefaults]
    default_realm = MAIN.ADLAB.NETDIRECT.CA
    dns_lookup_realm = true
    dns_lookup_kdc = true

[realms]

[logging]
    kdc = FILE:/var/log/krb5/krb5kdc.log
    admin_server = FILE:/var/log/krb5/kadmind.log
    default = SYSLOG:NOTICE:DAEMON

这是真正的踢球者:

站点链接启动时仍会出现此问题.我可以使用未在RODC上缓存的帐户登录到域PC,但如果它们在RODC上,我会收到相同的错误.

我确保AD DNS中的所有适当的SRV记录都已到位.我通过将分支机构中的Windows 2008 R2 DC升级为RODC角色并确保Windows和Samba RODC都存在所有适当的DNS记录来确保这一点.

(有些是必须手动添加,因为它们还没有被samba添加

SRV _ldap._tcp.${SITE}._sites.DomainDnsZones.${DNSDOMAIN} ${HOSTNAME} 389
SRV _ldap._tcp.${SITE}._sites.ForestDnsZones.${DNSFOREST} ${HOSTNAME} 389

)(必须关闭括号)

那么…什么坏了,我该如何解决

SPN信息

> dsquery * "CN=SLES-SHIRE,OU=Domain Controllers,DC=ca" -attr servicePrincipalName
  servicePrincipalName
  ldap/SLES-SHIRE;
  ldap/4116d553-d66b-4c8b-9a60-90380ac69c04._msdcs.main.adlab.netdirect.ca;
  ldap/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
  HOST/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
  ldap/SLES-SHIRE.main.adlab.netdirect.ca;
  ldap/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
  HOST/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
  RestrictedKrbHost/SLES-SHIRE.main.adlab.netdirect.ca;
  RestrictedKrbHost/SLES-SHIRE;
  GC/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
  HOST/SLES-SHIRE.main.adlab.netdirect.ca;HOST/SLES-SHIRE;

> dsquery * "CN=WIN7-SHIRE,DC=ca" -attr servicePrincipalName
  servicePrincipalName
  TERMSRV/WIN7-SHIRE.main.adlab.netdirect.ca;
  TERMSRV/WIN7-SHIRE;
  RestrictedKrbHost/WIN7-SHIRE;
  HOST/WIN7-SHIRE;
  RestrictedKrbHost/WIN7-SHIRE.main.adlab.netdirect.ca;
  HOST/WIN7-SHIRE.main.adlab.netdirect.ca;
这是一个很长的镜头,但我会尝试:在我看来,在安全级别设置方面,win7和基于samba的RODC之间存在一些不兼容性.我还假设win 7上的某些认安全设置太严格,以至于samba不支持.我将尝试通过更改本地策略来放松win 7上的安全设置:计算机配置 – > Windows设置 – >安全设置 – >本地策略 – >安全选项.

通常的嫌疑人包括但不限于:

Microsoft网络客户端:数字签名通信(如果服务器同意)Microsoft网络客户端:将未加密的密码发送到第三方SMB服务器网络安全:LAN Manager身份验证级别网络安全:LDAP客户端签名要求网络安全性:基于NTLM ssp(包括安全RPC)客户端的最低会话安全性需要消息机密性需要NTLMv2会话安全性需要128位加密

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐