Win7クライアントがSamba4 RODCのキャッシュされた資格情報で失敗する

9

samba4を1400のリモートサイトに展開しようとしている顧客向けのテスト環境をセットアップしていますが、問題が発生しています。結局のところ、問題にぶつかって解決するのが私の仕事です。

Active Directory

  • フォレストルートと単一ドメイン:main.adlab.netdirect.ca
  • Windows 2008 R2で作成
  • 2008 FFL
  • 2008 DFL

本社

  • AD1:Windows 2008 R2 DC
  • AD2:Windows 2008 R2 DC
  • Windows 7 Professionalクライアント

支店

  • SLES11SP2(完全に更新!)とSamba 4(sernetの4.1.1-7.suse111パッケージ)
  • RODCとして構成されたSamba 4

特定のアカウントをRODCにキャッシュできるようにパスワードレプリケーションポリシーを構成し、それらのアカウントをRODCに入力しました。

sles-shire:~ # samba-tool rodc preload 'win7-shire$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]

sles-shire:~ # samba-tool rodc preload 'win7-shire-2$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[1]

sles-shire:~ # samba-tool rodc preload 'bilbo' --server main.adlab.netdirect.ca
Replicating DN CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]

私が知っている私はキャッシュされたユーザーではなく、別のユーザーでログインすることができ、サイトのリンクを削除した場合ので、それらの資格情報がRODCにキャッシュされていること:

michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U michael
Enter michael's password: 
session setup failed: NT_STATUS_IO_TIMEOUT

michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U bilbo
Enter bilbo's password: 
Domain=[MAIN] OS=[Unix] Server=[Samba 4.1.1-SerNet-SuSE-7.suse111]
smb: \> ls
  .                                   D        0  Mon Nov 18 16:09:44 2013
  ..                                  D        0  Mon Nov 18 16:11:15 2013
  main.adlab.netdirect.ca             D        0  Wed Nov 20 17:54:13 2013

したがって、認証は正常に機能しています!しかし、Windows 7 PC(WIN7-SHIRE)にログインしようとすると、エラーが発生します。

内部エラーが発生しました。

ああ。ありがとう。間違ったパスワードを使用すると、次のようになります。

ユーザー名またはパスワードが正しくありません。

つまり、認証は行われていますが、Windows 7は何かが好きではありません。イベントログにこれらのエラーが表示され、これらはこの問題に関連していると思います。

セキュリティシステムは、サーバーldap / sles-shire.main.adlab.netdirect.caの認証エラーを検出しました。認証プロトコルKerberosからのエラーコードは、「内部エラーが発生しました。(0xc00000e5)」でした。

セキュリティシステムは、サーバーDNS / sles-shire.main.adlab.netdirect.caの認証エラーを検出しました。認証プロトコルKerberosからのエラーコードは、「内部エラーが発生しました。(0xc00000e5)」でした。

すでにログオンしてて、ネットワークサービスを使用してみると、次のようになります。

セキュリティシステムは、サーバーcifs / sles-shire.main.adlab.netdirect.caの認証エラーを検出しました。認証プロトコルKerberosからのエラーコードは、「内部エラーが発生しました。(0xc00000e5)」でした。

サーバー上の私のkrb5.conf:

[libdefaults]
    default_realm = MAIN.ADLAB.NETDIRECT.CA
    dns_lookup_realm = true
    dns_lookup_kdc = true

[realms]

[logging]
    kdc = FILE:/var/log/krb5/krb5kdc.log
    admin_server = FILE:/var/log/krb5/kadmind.log
    default = SYSLOG:NOTICE:DAEMON

ここに本当のキッカーがあります:

この動作は、サイトリンクがアップしているときにも発生ます。RODCにキャッシュされていないアカウントでドメインPCにログインできますが、それらがRODCにある場合、同じエラーが発生します。

AD DNSのすべての適切なSRVレコードが配置されていることを確認しました。ブランチオフィスのWindows 2008 R2 DCをRODCの役割に昇格させ、WindowsとSamba RODCの両方に適切なDNSレコードがすべて存在するようにすることで、これを確実にしました。

(一部はまだsambaで追加されていないため、手動で追加する必要がありました。

SRV _ldap._tcp.${SITE}._sites.DomainDnsZones.${DNSDOMAIN} ${HOSTNAME} 389
SRV _ldap._tcp.${SITE}._sites.ForestDnsZones.${DNSFOREST} ${HOSTNAME} 389

)(ブラケットを閉じる必要があります)

だから…何が壊れているのですか、どうすれば修正できますか?

SPN情報

> dsquery * "CN=SLES-SHIRE,OU=Domain Controllers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
  servicePrincipalName
  ldap/SLES-SHIRE;
  ldap/4116d553-d66b-4c8b-9a60-90380ac69c04._msdcs.main.adlab.netdirect.ca;
  ldap/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
  HOST/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
  ldap/SLES-SHIRE.main.adlab.netdirect.ca;
  ldap/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
  HOST/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
  RestrictedKrbHost/SLES-SHIRE.main.adlab.netdirect.ca;
  RestrictedKrbHost/SLES-SHIRE;
  GC/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
  HOST/SLES-SHIRE.main.adlab.netdirect.ca;HOST/SLES-SHIRE;

> dsquery * "CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
  servicePrincipalName
  TERMSRV/WIN7-SHIRE.main.adlab.netdirect.ca;
  TERMSRV/WIN7-SHIRE;
  RestrictedKrbHost/WIN7-SHIRE;
  HOST/WIN7-SHIRE;
  RestrictedKrbHost/WIN7-SHIRE.main.adlab.netdirect.ca;
  HOST/WIN7-SHIRE.main.adlab.netdirect.ca;
active-directory  windows-7  samba4  rodc 
MikeyB
ソース

回答:

2

ロングショットですが、試してみます。セキュリティレベルの設定の点で、win7とsambaベースのRODCの間にはいくつかの非互換性があるようです。また、win 7のデフォルトのセキュリティ設定の一部は、Sambaがサポートしていないほど制限が厳しいと思います。ローカルポリシーを変更して、Windows 7のセキュリティ設定を緩和しようとします。コンピュータの構成-> Windowsの設定->セキュリティの設定->ローカルポリシー->セキュリティオプション。

通常の容疑者には以下が含まれますが、これらに限定されません。

Microsoftネットワーククライアント:通信にデジタル署名する(サーバーが同意する場合)Microsoftネットワーククライアント:暗号化されていないパスワードをサードパーティのSMBサーバーに送信するネットワークセキュリティ:LAN Manager認証レベルネットワークセキュリティ:LDAPクライアント署名要件ネットワークセキュリティ:NTLM SSPベースの最小セッションセキュリティ(安全なRPCを含む)クライアントにはメッセージの機密性が必要NTLMv2セッションセキュリティが必要128ビット暗号化が必要

ストロングライン
ソース
0

問題は、探索/テストインストールに関連するすべての行き止まりと緩い配線に関係している可能性があるようです。

実際の構成手順から環境を復元し、ADおよびRODCセットアップを再実行した後、このシナリオは問題なく完全に機能しました。

MikeyB
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.