Soru Win7 istemcileri samba4 RODC'de önbelleğe alınmış kimlik bilgileriyle başarısız oluyor


Bir müşterinin samba4'ü 1400 uzak siteye dağıtmak üzere bir test ortamı kuruyorum ve bir sorunla karşılaşıyorum. Her şeyden önce, mesleğim sorunlara girip onları çözüyorum.

Active Directory

  • orman kökü & tek alan: main.adlab.netdirect.ca
  • Windows 2008 R2'de oluşturuldu
  • 2008 FFL
  • 2008 DFL

Ana ofis

  • AD1: Windows 2008 R2 DC
  • AD2: Windows 2008 R2 DC
  • Windows 7 Professional istemcileri

Şube

  • Samba 4 ile SLES11SP2 (tamamen güncellendi!) (Sernet'ten 4.1.1-7.suse111 paketler)
  • Samba 4 RODC olarak yapılandırıldı

Bazı hesapların RODC'de önbelleğe alınmasına ve daha sonra bu hesapların RODC'ye alınmasına izin vermek için bir parola çoğaltma ilkesi yapılandırdım:

sles-shire:~ # samba-tool rodc preload 'win7-shire$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]

sles-shire:~ # samba-tool rodc preload 'win7-shire-2$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[1]

sles-shire:~ # samba-tool rodc preload 'bilbo' --server main.adlab.netdirect.ca
Replicating DN CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]

ben bilmek Bu kimlik bilgilerini RODC'de önbelleğe aldığını çünkü site bağlantısını bırakırsam önbelleğe alınmış bir kullanıcıyla giriş yapabilirim ancak farklı bir kullanıcı değil:

michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U michael
Enter michael's password: 
session setup failed: NT_STATUS_IO_TIMEOUT

michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U bilbo
Enter bilbo's password: 
Domain=[MAIN] OS=[Unix] Server=[Samba 4.1.1-SerNet-SuSE-7.suse111]
smb: \> ls
  .                                   D        0  Mon Nov 18 16:09:44 2013
  ..                                  D        0  Mon Nov 18 16:11:15 2013
  main.adlab.netdirect.ca             D        0  Wed Nov 20 17:54:13 2013

Yani kimlik doğrulaması iyi çalışıyor! Ama Windows 7 PC'de (WIN7-SHIRE) oturum açtığımda hatayı alıyorum:

Dahili bir hata oluştu.

Gee. Teşekkürler. Yanlış bir şifre kullanırsam:

Kullanıcı adı veya şifre yanlış.

Yani kimlik doğrulaması oluyor, ancak Windows 7 sevmiyor bir şey. Bu hataları olay günlüklerinde görüyorum ve bence bu sorunla alakalılar:

Güvenlik Sistemi, sunucu ldap / sles-shire.main.adlab.netdirect.ca için bir kimlik doğrulama hatası tespit etti. Kimlik doğrulama protokolü Kerberos'un hata kodu "Dahili bir hata oluştu. (0xc00000e5)" idi.

Güvenlik Sistemi, sunucu DNS / sles-shire.main.adlab.netdirect.ca için bir kimlik doğrulama hatası tespit etti. Kimlik doğrulama protokolü Kerberos'un hata kodu "Dahili bir hata oluştu. (0xc00000e5)" idi.

Eğer ben zaten oturum açıp ağ hizmetlerini denedim ve kullanıyorum:

Güvenlik Sistemi, sunucu cifs / sles-shire.main.adlab.netdirect.ca için bir kimlik doğrulama hatası tespit etti. Kimlik doğrulama protokolü Kerberos'un hata kodu "Dahili bir hata oluştu. (0xc00000e5)" idi.

Krb5.conf sunucumda:

[libdefaults]
    default_realm = MAIN.ADLAB.NETDIRECT.CA
    dns_lookup_realm = true
    dns_lookup_kdc = true

[realms]

[logging]
    kdc = FILE:/var/log/krb5/krb5kdc.log
    admin_server = FILE:/var/log/krb5/kadmind.log
    default = SYSLOG:NOTICE:DAEMON

İşte gerçek kicker:

Site bağlantısı olduğunda davranış hala devam ediyor yukarı. Etki alanı bilgisayarına, hesaplarla giriş yapabilirim. değil RODC'de önbelleğe alınmış, ancak RODC üzerinde iseler aynı hatayı alıyorlar.

AD DNS'deki tüm uygun SRV kayıtlarının yerinde olduğundan emin oldum. Şube ofisinde bir Windows 2008 R2 DC'yi RODC rolüne yükseltmek ve Windows ve Samba RODC için tüm uygun DNS kayıtlarının mevcut olmasını sağlayarak bunu sağladım.

(bazıları henüz samba tarafından eklenmediği için el ile eklemek gerekiyordu:

SRV _ldap._tcp.${SITE}._sites.DomainDnsZones.${DNSDOMAIN} ${HOSTNAME} 389
SRV _ldap._tcp.${SITE}._sites.ForestDnsZones.${DNSFOREST} ${HOSTNAME} 389

) (braketi kapatmalı)

Öyleyse… ne kırık ve nasıl düzeltebilirim?


SPN bilgisi

> dsquery * "CN=SLES-SHIRE,OU=Domain Controllers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
  servicePrincipalName
  ldap/SLES-SHIRE;
  ldap/4116d553-d66b-4c8b-9a60-90380ac69c04._msdcs.main.adlab.netdirect.ca;
  ldap/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
  HOST/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
  ldap/SLES-SHIRE.main.adlab.netdirect.ca;
  ldap/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
  HOST/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
  RestrictedKrbHost/SLES-SHIRE.main.adlab.netdirect.ca;
  RestrictedKrbHost/SLES-SHIRE;
  GC/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
  HOST/SLES-SHIRE.main.adlab.netdirect.ca;HOST/SLES-SHIRE;

> dsquery * "CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
  servicePrincipalName
  TERMSRV/WIN7-SHIRE.main.adlab.netdirect.ca;
  TERMSRV/WIN7-SHIRE;
  RestrictedKrbHost/WIN7-SHIRE;
  HOST/WIN7-SHIRE;
  RestrictedKrbHost/WIN7-SHIRE.main.adlab.netdirect.ca;
  HOST/WIN7-SHIRE.main.adlab.netdirect.ca;

9
2017-11-21 06:32


Menşei




Cevaplar:


Uzun bir atış ama denerdim: Win7 ve samba tabanlı RODC arasında güvenlik seviyesi ayarları açısından bazı uyumsuzluklar var gibi görünüyor. Ayrıca, Win 7'de bazı varsayılan güvenlik ayarlarının samba'nın desteklemeyeceği kadar kısıtlayıcı olduğunu varsaymak isterim. Yerel politikayı değiştirerek 7'de güvenlik ayarlarını gevşetmeye çalışacağım: Bilgisayar Yapılandırması-> Windows Ayarları-> Güvenlik Ayarları-> Yerel İlkeler-> Güvenlik Seçenekleri.

Genel şüpheliler aşağıdakileri içerir ancak bunlarla sınırlı değildir:

Microsoft ağ istemcisi: İletişimi dijital olarak imzala (sunucu kabul ederse) Microsoft ağ istemcisi: Şifrelenmemiş şifreyi üçüncü taraf SMB sunucularına gönder Ağ güvenliği: LAN Manager kimlik doğrulama seviyesi Ağ güvenliği: LDAP istemcisi imzalama gereksinimleri Ağ güvenliği: NTLM SSP tabanlı (güvenli RPC dahil) istemcileri için minimum oturum güvenliği Mesaj gizliliği gerektir NTLMv2 oturum güvenliği gerektir 128 bit şifreleme gerektir


2
2017-12-17 17:07





Sorunların, bir keşif / test kurulumu ile ilgili tüm çıkmaz ve gevşek tellerle ilgili olması gerektiği anlaşılıyor.

Çevreyi geri yükledikten ve AD ve RODC kurulumunu gerçek bir konfigürasyon prosedüründen tekrar yaptıktan sonra, bu senaryo sorunsuz bir şekilde çalıştı!


0
2017-12-17 21:25