The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Пропал доступ к домену"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Samba, вопросы интеграции Unix и Windows (Контроллер домена (PDC) и samba)
Изначальное сообщение [ Отслеживать ]

"Пропал доступ к домену"  +/
Сообщение от silent79 email(ok) on 20-Апр-16, 10:40 
Здравствуйте.
Пол года назад настроил себе контроллер домена на базе Samba 3.6. в OS Centos 5.11 с хранимым профилем на сервере. Все работало замечательно до вчерашнего дня. С утра появились проблемы с авторизацией.
Что делал до этого. В процессах, я обратил внимание, что пользователем root запущен процесс smbd и занимает 100% процессора и 10% памяти. Смотреть стал из-за того, что очень долгий получался вход и выход из сеанса (это спустя пол года, до этого было быстро). Решил установить samba-swat, чтобы посмотреть, что в данный момент делает пользователь root, оказалось ничего не делает.
Вот собственно и все. Удалил swat - ничего не изменилось, да и не причем он тут, в процессах правда пропал этот процесс после перезагрузки сервера.

[root@local ]# net getdomainsid
SID for local machine SRV_DOMAIN is: S-1-5-21-2503421309-2892018776-67401787
SID for domain LOCAL1.DOMAIN.RU is: S-1-5-21-2503421309-2892018776-67401787

[root@local ]# net groupmap list
nt_nt_computer (S-1-5-21-2503421309-2892018776-67401787-515) -> nt_computer
nt_nt_admin (S-1-5-21-2503421309-2892018776-67401787-512) -> nt_admin
nt_nt_user (S-1-5-21-2503421309-2892018776-67401787-513) -> nt_user

[root@local ]# net rpc info
Enter root's password:
Could not connect to server SRV_DOMAIN
Connection failed: NT_STATUS_ACCESS_DENIED

Конфиг не менялся. Пробовал переустановить Samba, не помогает. Каково мое решение?! Или что я делаю не так?!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Пропал доступ к домену"  +/
Сообщение от eRIC (ok) on 20-Апр-16, 13:24 
> [root@local ]# net rpc info
> Enter root's password:
> Could not connect to server SRV_DOMAIN
> Connection failed: NT_STATUS_ACCESS_DENIED

-d 5 добавьте в команде и запустите.

имя хоста или hosts не менялся на сервере?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Пропал доступ к домену"  +/
Сообщение от silent79 email(ok) on 20-Апр-16, 13:40 
Не имя, не hosts не менялся. Т.е. получилось как - вечером работал (заводил в домен очередного клиента), а утром уже нет.

[root@local]# net rpc info -d 5
INFO: Current debug levels:
  all: 5
  tdb: 5
  printdrivers: 5
  lanman: 5
  smb: 5
  rpc_parse: 5
  rpc_srv: 5
  rpc_cli: 5
  passdb: 5
  sam: 5
  auth: 5
  winbind: 5
  vfs: 5
  idmap: 5
  quota: 5
  acls: 5
  locking: 5
  msdfs: 5
  dmapi: 5
  registry: 5
lp_load_ex: refreshing parameters
Initialising global parameters
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
INFO: Current debug levels:
  all: 5
  tdb: 5
  printdrivers: 5
  lanman: 5
  smb: 5
  rpc_parse: 5
  rpc_srv: 5
  rpc_cli: 5
  passdb: 5
  sam: 5
  auth: 5
  winbind: 5
  vfs: 5
  idmap: 5
  quota: 5
  acls: 5
  locking: 5
  msdfs: 5
  dmapi: 5
  registry: 5
params.c:pm_process() - Processing configuration file "/etc/samba/smb.conf"
Processing section "[global]"
doing parameter workgroup = local1.domain.ru
doing parameter netbios name = srv_domain
handle_netbios_name: set global_myname to: SRV_DOMAIN
doing parameter server string = SMB
doing parameter security = user
doing parameter log level = 0 vfs:2
doing parameter log file = /var/log/samba/%m.log
doing parameter max log size = 0
doing parameter syslog = 0
doing parameter dns proxy = yes
doing parameter unix charset = utf8
Substituting charset 'UTF-8' for LOCALE
doing parameter display charset = utf8
doing parameter dos charset = cp866
doing parameter socket options = TCP_NODELAY IPTOS_LOWDELAY SO_KEEPALIVE SO_RCVBUF=8192 SO_SNDBUF=8192
doing parameter wide links = yes
doing parameter read raw = no
doing parameter logon script = %u.bat
doing parameter logon path = \\%N\profiles\%U
doing parameter logon drive = U:
doing parameter domain logons = Yes
doing parameter os level = 255
doing parameter preferred master = Yes
doing parameter domain master = Yes
doing parameter admin users = smbadmin
doing parameter wide links = No
doing parameter interfaces = lo, eth0
doing parameter hosts allow = 192.168.89.
doing parameter wins support = yes
doing parameter passdb backend = smbpasswd
doing parameter smb passwd file = /etc/samba/smbpasswd
pm_process() returned Yes
Netbios name list:-
my_netbios_names[0]="SRV_DOMAIN"
added interface lo ip=127.0.0.1 bcast=127.255.255.255 netmask=255.0.0.0
added interface eth0 ip=192.168.89.25 bcast=192.168.89.255 netmask=255.255.255.0
Registered MSG_REQ_POOL_USAGE
Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
Opening cache file at /var/lib/samba/gencache.tdb
Opening cache file at /var/lib/samba/gencache_notrans.tdb
name LOCAL1.DOMAIN.RU#1B found.
namecache_status_fetch: key NBT/LOCAL1.DOMAIN.RU#1B.20.192.168.89.25 -> SRV_DOMAIN
Enter root's password:
Connecting to host=SRV_DOMAIN
Connecting to 192.168.89.25 at port 445
Socket options:
        SO_KEEPALIVE = 1
        SO_REUSEADDR = 0
        SO_BROADCAST = 0
        TCP_NODELAY = 1
        TCP_KEEPCNT = 9
        TCP_KEEPIDLE = 7200
        TCP_KEEPINTVL = 75
        IPTOS_LOWDELAY = 16
        IPTOS_THROUGHPUT = 16
        SO_SNDBUF = 16384
        SO_RCVBUF = 16384
        SO_SNDLOWAT = 1
        SO_RCVLOWAT = 1
        SO_SNDTIMEO = 0
        SO_RCVTIMEO = 0
        TCP_QUICKACK = 1
cli_negprot: SMB signing is mandatory and the server doesn't support it.
failed negprot: NT_STATUS_ACCESS_DENIED
Could not connect to server SRV_DOMAIN
Connection failed: NT_STATUS_ACCESS_DENIED
failed to make ipc connection: NT_STATUS_ACCESS_DENIED
return code = -1

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Пропал доступ к домену"  +2 +/
Сообщение от eRIC (ok) on 20-Апр-16, 14:36 
> cli_negprot: SMB signing is mandatory and the server doesn't support it.
> failed negprot: NT_STATUS_ACCESS_DENIED

укажите server signing = auto и перезапустите samba демонов и проверьте


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Пропал доступ к домену"  +/
Сообщение от silent79 email(ok) on 20-Апр-16, 15:16 
Уже интереснее...

[root@local ]# net rpc info
Enter root's password:
Domain Name: LOCAL1.DOMAIN.RU
Domain SID: S-1-5-21-2503421309-2892018776-67401787
Sequence number: 1461154338
Num users: 43
Num domain groups: 18
Num local groups: 0

Но теперь при попытке зайти в домен на клиенте выходит ошибка "Подключение к системе сейчас невозможно, так как домен local1.domains.ru недоступен". Попробовал вывести машину из домена, потом заново завел, тоже самое. Буду дальше разбираться.

Спасибо.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Пропал доступ к домену"  +/
Сообщение от eRIC (ok) on 20-Апр-16, 18:54 
клиент какая версия Windows?


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Пропал доступ к домену"  +/
Сообщение от silent79 (ok) on 20-Апр-16, 22:56 
> клиент какая версия Windows?

Да, WinXP.
Все же что-то не работает. Чистая машина, не была в этом домене. Завел без проблем, после перезагрузки - ругается, что такой домен отсутствует.

Машина, которая была в домене без проблем вошла. Создал документы, завершил сеанс. Документы сохранились на сервере. Повторно не получилось - ругается, что перемещаемый профиль не найден и будет использован локальный. Зашел другим пользователем, ситуация повторилась.

Удалил полностью Samba, всех пользователей, все группы. Установил Samba, добавил группы, добавил пользователей. Не помогает. Тоже самое.

Думаю попробовать переустановить сам сервер, но на это уйдет много времени :( для последующей его настройки. И поможет ли.

Блин, я был в восторге от настроенного мной контроллера домена на самбе, и от того как он работал. Теперь задумываюсь о надежности... На пустом месте отказался функционировать.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Пропал доступ к домену"  +/
Сообщение от eRIC (ok) on 21-Апр-16, 06:35 
> Да, WinXP.
> Все же что-то не работает. Чистая машина, не была в этом домене.
> Завел без проблем, после перезагрузки - ругается, что такой домен отсутствует.

логи samba смотрели?

> Удалил полностью Samba, всех пользователей, все группы. Установил Samba, добавил группы,
> добавил пользователей. Не помогает. Тоже самое.

с конфигами проблем не дожно быть, скорее всего с *.tbd файлами где возможно повреждены.
если с чистого листа собираетесь ставить Samba, то не забудьте поудалять старые *.tbd где-то в /var/lib/samba

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Пропал доступ к домену"  +/
Сообщение от silent79 email(ok) on 21-Апр-16, 08:33 
> логи samba смотрели?

Да, что касается компа, который якобы не видит домена, то в логах чисто. А что касаемо других, которые заведены в домен ранее, то там полно вот такого
[2016/04/21 08:31:37.052478,  0] rpc_server/netlogon/srv_netlog_nt.c:976(_netr_ServerAuthenticate3)
  _netr_ServerAuthenticate3: netlogon_creds_server_check failed. Rejecting auth request from client KADASTR-3 machine account KADASTR-3$

> с конфигами проблем не дожно быть, скорее всего с *.tbd файлами где
> возможно повреждены.
> если с чистого листа собираетесь ставить Samba, то не забудьте поудалять старые
> *.tbd где-то в /var/lib/samba

удалял, тоже самое.


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Пропал доступ к домену"  +/
Сообщение от silent79 email(ok) on 21-Апр-16, 08:50 
в самом начале я писал, что в процессах фигурировал процесс, занимаемый 100%... Тогда же в процессах мелькал процесс, связанный что-то с rpc..., сейчас такого тоже нет.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Пропал доступ к домену"  +/
Сообщение от Бенц on 21-Апр-16, 16:56 
  Точно такая же ситуация.
Связано это с обновления Samba 3.6.25, устраняющая уязвимость "Badlock".
Я вышел из положения установив sernet-samba 3.5.
  вот тут ( https://samba.plus/samba-3/ubuntu/ubuntu-1204-lts-precise/ )

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Пропал доступ к домену"  +/
Сообщение от Бенц on 21-Апр-16, 17:02 
Правда у меня ubuntu. Вам видимо надо смотреть тут
https://samba.plus/older-packages/
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Пропал доступ к домену"  +/
Сообщение от silent79 (ok) on 21-Апр-16, 21:21 
Да. Удалил существующий сервер. Скачал пакеты отсюда https://samba.plus/older-packages/, установил, настроил. Пересоздал группы и пользователей.

Завожу комп в домен. Работает. Если заходить на машине, которая уже была ранее заведена, то не входит. Взял в реестре SID, заменил его на сервере

net setlocalsid S-1-5-21-2503421309-2892018776-67401787
net setdomainsid S-1-5-21-2503421309-2892018776-67401787

Удалил группы, пользователей. Добавил заново.

net groupmap list
nt_COMPUTERS (S-1-5-21-2503421309-2892018776-67401787-515) -> COMPUTERS
nt_ADMINS (S-1-5-21-2503421309-2892018776-67401787-512) -> ADMINS
nt_USERS (S-1-5-21-2503421309-2892018776-67401787-513) -> USERS

net rpc info
Enter root's password:
Domain Name: LOCAL.___.RU
Domain SID: S-1-5-21-2503421309-2892018776-67401787
Sequence number: 1461262716
Num users: 43
Num domain groups: 18
Num local groups: 0

И все же не получается зайти на ранее заведенной машине в домен. Где еще что перенастроить, чтобы не перезаводить все компы в домен?!

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Пропал доступ к домену"  +/
Сообщение от Бенц on 22-Апр-16, 11:27 
...
> И все же не получается зайти на ранее заведенной машине в домен.
> Где еще что перенастроить, чтобы не перезаводить все компы в домен?!

  Да есть такая проблема, благо у меня машин с самбой немного, я  их удалил из домена
и заново ввел. А что делать ? Так лучше чем вообще без файловых серверов жить.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "Пропал доступ к домену"  +/
Сообщение от eRIC (ok) on 22-Апр-16, 07:46 
коллеги возможно проблема связана с Badlock Bug(http://badlock.org/), а может и нет. Где для устранения нужно обновить Samba и Windows заплатки накатать.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Пропал доступ к домену"  +/
Сообщение от eRIC (ok) on 22-Апр-16, 11:25 
> [2016/04/21 08:31:37.052478,  0] rpc_server/netlogon/srv_netlog_nt.c:976(_netr_ServerAuthenticate3)
>   _netr_ServerAuthenticate3: netlogon_creds_server_check failed. Rejecting auth request
> from client KADASTR-3 machine account KADASTR-3$

+1: цитата http://edoceo.com/howto/samba3-windows7:

Using Samba 3 sometimes some Windows computers fall off the domain, resulting in a trust relationship failure.

    The trust relationship between this workstation and the primary domain failed.

This is generally caused by mis-matched work-station and domain controller account passwords. To reset this you must un-join/re-join the domain. The fix above, with regards to DisablePasswordChange should resolve this.

_netr_ServerAuthenticate3: netlogon_creds_server_check failed. Rejecting auth request from client MACHINE machine account MACHINE$


+2: https://lists.samba.org/archive/samba/2013-June/174085.html

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Пропал доступ к домену"  +/
Сообщение от ALex_hha (ok) on 25-Апр-16, 00:08 
Какая версия самбы?


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Пропал доступ к домену"  +/
Сообщение от ALex_hha (ok) on 25-Апр-16, 13:31 
https://bugzilla.redhat.com/show_bug.cgi?id=1326918

мб ваш случай, по мотивам - http://serverfault.com/questions/771388

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Пропал доступ к домену"  +/
Сообщение от admin (??) on 26-Апр-16, 18:49 
> https://bugzilla.redhat.com/show_bug.cgi?id=1326918
> мб ваш случай, по мотивам - http://serverfault.com/questions/771388

я подтверждаю, последнее обновление samba3x-3.6.23-12 для Centos5 и samba-3.6.23-30 для Centos6 ломает систему. Откат на предыдущую версию приводит все в рабочее состояние.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема



  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor