活动目录
>森林根&单域:main.adlab.netdirect.ca
>在Windows 2008 R2上创建
> 2008 FFL
> 2008年DFL
总公司
> AD1:Windows 2008 R2 DC
> AD2:Windows 2008 R2 DC
> Windows 7 Professional客户端
分支机构
> SLES11SP2(完全更新!)与Samba 4(来自sernet的4.1.1-7.suse111包)
> Samba 4配置为RODC
我已配置密码复制策略以允许某些帐户缓存在RODC上,然后将这些帐户填充到RODC:
sles-shire:~ # samba-tool rodc preload 'win7-shire$' --server main.adlab.netdirect.ca Replicating DN CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca Exop on[CN=WIN7-SHIRE,DC=ca] objects[1] linked_values[2] sles-shire:~ # samba-tool rodc preload 'win7-shire-2$' --server main.adlab.netdirect.ca Replicating DN CN=WIN7-SHIRE-2,DC=ca Exop on[CN=WIN7-SHIRE-2,DC=ca] objects[1] linked_values[1] sles-shire:~ # samba-tool rodc preload 'bilbo' --server main.adlab.netdirect.ca Replicating DN CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=ca Exop on[CN=Bilbo Baggins,DC=ca] objects[1] linked_values[2]
我知道这些凭据正在缓存在RODC上,因为如果我删除站点链接,我可以使用缓存用户登录,但不能使用其他用户:
michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U michael Enter michael's password: session setup Failed: NT_STATUS_IO_TIMEOUT michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U bilbo Enter bilbo's password: Domain=[MAIN] OS=[Unix] Server=[Samba 4.1.1-SerNet-SuSE-7.suse111] smb: \> ls . D 0 Mon Nov 18 16:09:44 2013 .. D 0 Mon Nov 18 16:11:15 2013 main.adlab.netdirect.ca D 0 Wed Nov 20 17:54:13 2013
因此身份验证工作正常!但是当我尝试登录Windows 7 PC(WIN7-SHIRE)时,我收到错误消息:
An internal error has occurred.
啧啧.谢谢.如果我使用的密码不正确,我会得到:
The user name or password is incorrect.
因此身份验证正在发生,但Windows 7不喜欢某些东西.我在事件日志中看到这些错误,我认为它们与此问题相关:
The Security System detected an authentication error for the server ldap/sles-shire.main.adlab.netdirect.ca. The failure code from authentication protocol Kerberos was “An internal error occurred. (0xc00000e5)”.
The Security System detected an authentication error for the server DNS/sles-shire.main.adlab.netdirect.ca. The failure code from authentication protocol Kerberos was “An internal error occurred. (0xc00000e5)”.
如果我已经登录并尝试使用网络服务,我会得到:
The Security System detected an authentication error for the server cifs/sles-shire.main.adlab.netdirect.ca. The failure code from authentication protocol Kerberos was “An internal error occurred. (0xc00000e5)”.
我在服务器上的krb5.conf:
[libdefaults] default_realm = MAIN.ADLAB.NETDIRECT.CA dns_lookup_realm = true dns_lookup_kdc = true [realms] [logging] kdc = FILE:/var/log/krb5/krb5kdc.log admin_server = FILE:/var/log/krb5/kadmind.log default = SYSLOG:NOTICE:DAEMON
这是真正的踢球者:
站点链接启动时仍会出现此问题.我可以使用未在RODC上缓存的帐户登录到域PC,但如果它们在RODC上,我会收到相同的错误.
我确保AD DNS中的所有适当的SRV记录都已到位.我通过将分支机构中的Windows 2008 R2 DC升级为RODC角色并确保Windows和Samba RODC都存在所有适当的DNS记录来确保这一点.
SRV _ldap._tcp.${SITE}._sites.DomainDnsZones.${DNSDOMAIN} ${HOSTNAME} 389 SRV _ldap._tcp.${SITE}._sites.ForestDnsZones.${DNSFOREST} ${HOSTNAME} 389
)(必须关闭括号)
那么…什么坏了,我该如何解决?
SPN信息
> dsquery * "CN=SLES-SHIRE,OU=Domain Controllers,DC=ca" -attr servicePrincipalName servicePrincipalName ldap/SLES-SHIRE; ldap/4116d553-d66b-4c8b-9a60-90380ac69c04._msdcs.main.adlab.netdirect.ca; ldap/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca; HOST/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca; ldap/SLES-SHIRE.main.adlab.netdirect.ca; ldap/SLES-SHIRE.main.adlab.netdirect.ca/MAIN; HOST/SLES-SHIRE.main.adlab.netdirect.ca/MAIN; RestrictedKrbHost/SLES-SHIRE.main.adlab.netdirect.ca; RestrictedKrbHost/SLES-SHIRE; GC/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca; HOST/SLES-SHIRE.main.adlab.netdirect.ca;HOST/SLES-SHIRE; > dsquery * "CN=WIN7-SHIRE,DC=ca" -attr servicePrincipalName servicePrincipalName TERMSRV/WIN7-SHIRE.main.adlab.netdirect.ca; TERMSRV/WIN7-SHIRE; RestrictedKrbHost/WIN7-SHIRE; HOST/WIN7-SHIRE; RestrictedKrbHost/WIN7-SHIRE.main.adlab.netdirect.ca; HOST/WIN7-SHIRE.main.adlab.netdirect.ca;
通常的嫌疑人包括但不限于:
Microsoft网络客户端:数字签名通信(如果服务器同意)Microsoft网络客户端:将未加密的密码发送到第三方SMB服务器网络安全:LAN Manager身份验证级别网络安全:LDAP客户端签名要求网络安全性:基于NTLM SSP(包括安全RPC)客户端的最低会话安全性需要消息机密性需要NTLMv2会话安全性需要128位加密