QNAP TS-809U: пользователи / группы домена исчезают, и сервер должен быть присоединен к домену AD
7460
fiskfisk
У нас есть TS809U, который мы присоединились к домену. Общие права доступа и права доступа работают с пользователями домена должным образом, и все так, как и должно быть. Но через пару недель / месяц пользователи и группы домена исчезают из TS809, и мне приходится вручную снова присоединяться к домену. После присоединения к домену процесс повторяется в течение того же периода времени, и я должен снова присоединиться к домену.
В журналах веб-интерфейса нет ошибок, и он показывает, что NAS успешно подключился к домену. Я обновил TS809U до последней прошивки 4.0.3 (из 3.x) в надежде, что это решит ее, но проблема все еще сохраняется.
Кто-нибудь сталкивался с этим раньше и будет ли в чем проблема или как ее устранить?
Единственное сообщение, которое мне удалось найти в средстве просмотра событий, которое ссылается на NAS, - это 5722, которое может указывать в направлении комментария ниже:
Установке сеанса с компьютера NASC473CDне удалось пройти проверку подлинности. Имя (я) учетной записи (ий), на которые есть ссылка в базе данных безопасности, - NASC473CD$. Произошла следующая ошибка: доступ запрещен.
Время между исчезновением и повторным появлением записей, похоже, составляет 14 дней. Наш домен (все еще) основан на Windows Server 2003.
Обновить
Обновление: проблема снова всплыла, но в журналах ничего интересного не было. wbinfo -t(проверка секрета доверия) не сработала и (что неудивительно) ни сработала wbinfo -c(изменение секрета доверия) . Я обнаружил, что текущий магазин билетов Kerberos5 не был обновлен и срок действия билетов Kerberos истек, что может быть связано. Теперь я добавил /sbin/update_krb5_ticketв crontab, чтобы посмотреть, поможет ли это (и теперь он обновляется каждый час).
Обновление 2014-02-25
Все еще безуспешно. log.wb-DOMAINNAMEпоказывает, что нам, очевидно, отказывают в доступе, вероятно, из-за тайм-аута или неверных секретов. Не уверен, как продвинуться, поскольку список билетов Kerberos ( klist) показал действительный билет, когда это произошло.
log.wb-DOMAINNAMEпоказывает:
[2014/02/25 03:05:20.545176, 3] winbindd/winbindd_pam.c:1902(winbindd_dual_pam_auth_crap) could not open handle to NETLOGON pipe (error: NT_STATUS_ACCESS_DENIED) [2014/02/25 03:05:20.545198, 2] winbindd/winbindd_pam.c:2003(winbindd_dual_pam_auth_crap) NTLM CRAP authentication for user [DOMAINNAME]\[MACHINE$] returned NT_STATUS_ACCESS_DENIED (PAM: 4) [2014/02/25 03:05:20.548424, 3] winbindd/winbindd_pam.c:1841(winbindd_dual_pam_auth_crap) [20497]: pam auth crap domain: DOMAINNAME user: MACHINE$
(те же сообщения об ошибках появляются при обращении к пользователям). По крайней мере, проблема заключается в том, что сервер отвечает, ACCESS_DENIEDкогда Samba пытается использовать NETLOGONресурс, насколько я понимаю. Однако я обнаружил, что один из DNS-серверов на TS809 был настроен на внешний сервер, а не сервер в домене. Я обновил DNS-серверы, чтобы они указывали на наши AD DC, чтобы выяснить, может ли это быть причиной (если он переключится на внешний, он получит не найденный хост вместо тайм-аутов для внутренних хостов на основе домена) ,
Обновление 2015-03-04. Скрипт автоматического воссоединения развернут как обходной путь.
Мы все еще не приблизились к определению долгосрочного решения, но в настоящее время мы наблюдаем тайм-ауты каждую неделю. Похоже, это совпадает с действительным билетом Kerberos, но я не смог найти ни одного параметра, который бы его изменил.
Однако я создал небольшой скрипт, который проверяет, потеряли ли мы список пользователей из домена, и при необходимости присоединяется к серверу. (Используя net rpc joinкоманду Samba .) «Username» - это пользователь в домене, у которого есть доступ для присоединения компьютеров к домену (мы создали пользователя для qnap только для этой цели):
COUNT=`wbinfo -g | grep DOMAINNAME | wc -l` if [ "$COUNT" -lt "1" ] then /usr/local/samba/bin/net rpc join -Uusername%password fi
Этот скрипт запускается на qnap с cron (найдите qnap cron в Google, чтобы узнать, как правильно настроить cron). Это работало прилично в последние месяцы.
Вы фактически присоединяетесь к домену или просто включаете аутентификацию через RADIUS и т. Д.? Как насчет журналов на первичном контроллере домена, сообщающих о каких-либо последствиях неудачных доверительных отношений или неудачных аутентификаций с этого устройства? Другая случайная мысль - это то, что он может сбрасывать учетные данные из-за вашего времени хранения в кэше (по умолчанию 30 дней).
Andrew M. 10 лет назад
0
Собственно присоединение к домену. Учетную запись NAS можно увидеть в разделе «Компьютеры в AD», и это единственная учетная запись, созданная для NAS. NAS может кэшировать учетные данные и не обновлять их, хотя это должна быть стандартная установка Samba. Я добавил единственное сообщение об ошибке, которое смог найти в окне просмотра событий в Q (5722, которое может указывать, что вы на правильном пути). Если у кого-то есть опыт отладки этого со стороны NAS, это будет полезно!
fiskfisk 10 лет назад
0
Есть ли у вас какие-либо групповые политики, помимо стандартных (если они не изменены), которые применяются к подразделению, в котором находится NAS? Также вы регистрируете NAS с одной учетной записью (учетной записью администратора домена), а затем используете последующую аутентификацию на другой учетной записи (созданной для самого NAS) в соответствии с рекомендациями? Еще одна мысль, которая у меня возникла, заключается в том, что она может пытаться выполнять аутентификацию часто и / или по тайм-ауту время от времени, и запускает ограничение блокировки вашей учетной записи или устройства (у меня однажды это происходило в нашем домене с устройством). Я хотел бы иметь подобное устройство для тестирования здесь ...
Andrew M. 10 лет назад
0
Просто еще одна мысль ... У нас были проблемы с аутентификацией RADIUS, когда одно из наших периферийных устройств по какой-то причине перестало синхронизироваться. И, совсем недавно, проблема с DNS. Просто некоторые мысли ...
Andrew M. 10 лет назад
0
Время синхронизировано, и DNS должен быть размещен на том же сервере AD, что и PDC. Я выясню, истекает ли это в течение следующих 7 дней, если это 14-дневный интервал. :-) Я вполне уверен, что QNAP не поддерживает различные учетные данные AD, и я думаю, что не нужно было повторно авторизоваться после того, как он снова присоединился к домену? Я постараюсь выяснить, происходит ли это только по понедельникам или что-то в этом роде, по истечении времени ожидания, поскольку в выходные дни нет запросов на проверку подлинности или подобных проблем. Согласно rsop, к группе компьютеров в лесу применяются политики учетных записей. Спасибо за помощь до сих пор!
fiskfisk 10 лет назад
0
Думаю об этом, и у меня есть последние идеи: Может быть, домен привязан к старой регистрации, и вам нужно удалить его, прежде чем снова присоединиться к нему? Может быть, один из контроллеров выходит из синхронизации? Может быть, обновление сломало вещи? Возможно, это потому, что вы работаете в домене, основанном на 2003 году (сейчас я нахожусь в процессе удаления одного из них). Работало ли оно дольше, чем сейчас? У него были другие проблемы? Рассматривали ли вы версию прошивки? Просто пытаюсь быть полезным; Вы, наверное, уже рассмотрели эти варианты, хотя ...
Andrew M. 10 лет назад
0
Я пробовал большинство из этих вариантов без какого-либо результата, он никогда не работал, и мы пробовали с несколькими версиями прошивки. Однако я немного больше копался в конфигурации samba и значительно увеличил уровень ведения журнала. Надеюсь, в следующий раз это покажет что-то полезное, что может рассказать нам больше. `max log size = 2000` и` log level 5` для всех, кому интересно (/etc/config/smb.conf). (2 МБ файла журнала, 5 - довольно много отладочной информации)
fiskfisk 10 лет назад
0
Я обновил вопрос дважды, добавив немного больше информации за последние 14 дней. По-прежнему безуспешно, хотя я почти уверен, что время ожидания аутентификации / доверительных отношений истекло.
fiskfisk 10 лет назад
0
1 ответ на вопрос
0
Berndinox
Seems like an problem with the machine account password to me. By Design in a 2k3 Domain the reset is generated every 30 days, but the reset of the machine account password could be triggered by the client whenever you want.
Normally, the Member first creates the new password and then pulls this to the DC.
For whatever reason it seams like that your qnap is generating an new password after two weeks, but then is not able to push it to the DC cause of a broken secure channel.
I don't know the features offered by qnap, could you logon via ssh? I think it's an unix based system?! Maybe there's an option to disable machine account password. The trust won't stop working after this 30 days.
Да, это совпадает с моими подозрениями. Он основан на Linux и использует samba в качестве реализации SMB. Я увеличил детализацию ведения журнала, чтобы увидеть, сможем ли мы получить больше отладочной информации (см. Комментарий к вопросу, если вам интересно, какие настройки делают это).
fiskfisk 10 лет назад
0