Klien Win7 gagal dengan kredensial di-cache pada samba4 RODC

9

Saya menyiapkan lingkungan pengujian untuk pelanggan yang akan menyebarkan samba4 ke 1400 situs jarak jauh dan saya mengalami masalah. Lagipula, itu tugas saya untuk mengalami masalah dan menyelesaikannya.

Direktori Aktif

  • root hutan & domain tunggal: main.adlab.netdirect.ca
  • dibuat pada Windows 2008 R2
  • FFL 2008
  • DFL 2008

Kantor pusat

  • AD1: Windows 2008 R2 DC
  • AD2: Windows 2008 R2 DC
  • Klien Windows 7 Professional

Kantor cabang

  • SLES11SP2 (sepenuhnya diperbarui!) Dengan Samba 4 (4.1.1-7.suse111 paket dari sernet)
  • Samba 4 dikonfigurasi sebagai RODC

Saya telah mengonfigurasi kebijakan replikasi kata sandi untuk memungkinkan akun tertentu di-cache di RODC dan kemudian mengisi akun-akun itu ke RODC:

sles-shire:~ # samba-tool rodc preload 'win7-shire$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]

sles-shire:~ # samba-tool rodc preload 'win7-shire-2$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[1]

sles-shire:~ # samba-tool rodc preload 'bilbo' --server main.adlab.netdirect.ca
Replicating DN CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]

Saya tahu bahwa kredensial itu sedang di-cache di RODC karena jika saya menjatuhkan tautan situs saya bisa masuk dengan pengguna yang di-cache tetapi bukan pengguna yang berbeda:

michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U michael
Enter michael's password: 
session setup failed: NT_STATUS_IO_TIMEOUT

michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U bilbo
Enter bilbo's password: 
Domain=[MAIN] OS=[Unix] Server=[Samba 4.1.1-SerNet-SuSE-7.suse111]
smb: \> ls
  .                                   D        0  Mon Nov 18 16:09:44 2013
  ..                                  D        0  Mon Nov 18 16:11:15 2013
  main.adlab.netdirect.ca             D        0  Wed Nov 20 17:54:13 2013

Jadi otentikasi berfungsi dengan baik! Tetapi ketika saya mencoba dan masuk ke PC Windows 7 (WIN7-SHIRE) saya mendapatkan kesalahan:

Kesalahan internal telah terjadi.

Wah. Terima kasih. Jika saya menggunakan kata sandi yang salah saya dapatkan:

Nama pengguna atau kata sandi salah.

Jadi otentikasi sedang terjadi, tetapi Windows 7 tidak menyukai sesuatu . Saya melihat kesalahan ini di log peristiwa dan saya pikir mereka relevan dengan masalah ini:

Sistem Keamanan mendeteksi kesalahan otentikasi untuk server ldap / sles-shire.main.adlab.netdirect.ca. Kode kegagalan dari protokol otentikasi Kerberos adalah "Terjadi kesalahan internal. (0xc00000e5)".

Sistem Keamanan mendeteksi kesalahan otentikasi untuk DNS server / sles-shire.main.adlab.netdirect.ca. Kode kegagalan dari protokol otentikasi Kerberos adalah "Terjadi kesalahan internal. (0xc00000e5)".

Jika saya sudah masuk dan mencoba dan menggunakan layanan jaringan saya mendapatkan:

Sistem Keamanan mendeteksi kesalahan otentikasi untuk cifs / sles-shire.main.adlab.netdirect.ca server. Kode kegagalan dari protokol otentikasi Kerberos adalah "Terjadi kesalahan internal. (0xc00000e5)".

Krb5.conf saya di server:

[libdefaults]
    default_realm = MAIN.ADLAB.NETDIRECT.CA
    dns_lookup_realm = true
    dns_lookup_kdc = true

[realms]

[logging]
    kdc = FILE:/var/log/krb5/krb5kdc.log
    admin_server = FILE:/var/log/krb5/kadmind.log
    default = SYSLOG:NOTICE:DAEMON

Inilah kicker yang sebenarnya:

Perilaku masih terjadi saat tautan situs habis . Saya bisa masuk ke PC domain dengan akun yang tidak di- cache di RODC, tetapi jika mereka berada di RODC saya mendapatkan kesalahan yang sama.

Saya telah memastikan bahwa semua catatan SRV yang sesuai dalam DNS AD sudah tersedia. Saya telah memastikan ini dengan mempromosikan Windows 2008 R2 DC di kantor cabang ke peran RODC dan memastikan bahwa semua catatan DNS yang sesuai ada untuk Windows dan Samba RODC.

(beberapa perlu ditambahkan dengan tangan karena belum ditambahkan oleh samba:

SRV _ldap._tcp.${SITE}._sites.DomainDnsZones.${DNSDOMAIN} ${HOSTNAME} 389
SRV _ldap._tcp.${SITE}._sites.ForestDnsZones.${DNSFOREST} ${HOSTNAME} 389

) (harus menutup braket)

Jadi ... apa yang rusak dan bagaimana cara memperbaikinya?


Info SPN

> dsquery * "CN=SLES-SHIRE,OU=Domain Controllers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
  servicePrincipalName
  ldap/SLES-SHIRE;
  ldap/4116d553-d66b-4c8b-9a60-90380ac69c04._msdcs.main.adlab.netdirect.ca;
  ldap/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
  HOST/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
  ldap/SLES-SHIRE.main.adlab.netdirect.ca;
  ldap/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
  HOST/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
  RestrictedKrbHost/SLES-SHIRE.main.adlab.netdirect.ca;
  RestrictedKrbHost/SLES-SHIRE;
  GC/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
  HOST/SLES-SHIRE.main.adlab.netdirect.ca;HOST/SLES-SHIRE;

> dsquery * "CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
  servicePrincipalName
  TERMSRV/WIN7-SHIRE.main.adlab.netdirect.ca;
  TERMSRV/WIN7-SHIRE;
  RestrictedKrbHost/WIN7-SHIRE;
  HOST/WIN7-SHIRE;
  RestrictedKrbHost/WIN7-SHIRE.main.adlab.netdirect.ca;
  HOST/WIN7-SHIRE.main.adlab.netdirect.ca;
MikeyB
sumber

Jawaban:

2

Ini adalah langkah panjang tapi saya akan mencoba: menurut saya beberapa ketidakcocokan antara win7 dan RODC berbasis samba dalam hal pengaturan tingkat keamanan. Saya juga berasumsi beberapa pengaturan keamanan default pada win 7 terlalu membatasi bahwa samba tidak mendukung. Saya akan mencoba untuk bersantai pengaturan keamanan pada win 7 dengan mengubah kebijakan lokal: Konfigurasi Komputer-> Pengaturan Windows-> Pengaturan Keamanan-> Kebijakan Lokal-> Opsi Keamanan.

Tersangka biasa termasuk tetapi tidak terbatas pada:

Klien jaringan Microsoft: Komunikasi tanda tangan digital (jika server setuju) Klien jaringan Microsoft: Kirim kata sandi yang tidak dienkripsi ke server SMB pihak ketiga Keamanan jaringan: Level otentikasi LAN Manager Keamanan jaringan: Persyaratan penandatanganan klien LDAP Keamanan jaringan: Keamanan sesi minimum untuk berbasis NTLM SSP ( termasuk RPC aman) klien Memerlukan kerahasiaan pesan Memerlukan keamanan sesi NTLMv2 Memerlukan enkripsi 128-bit

garis keras
sumber
0

Sepertinya masalah mungkin ada hubungannya dengan semua jalan buntu dan kabel longgar yang terkait dengan instalasi eksplorasi / uji.

Setelah memulihkan lingkungan dan melakukan kembali pengaturan AD dan RODC dari prosedur konfigurasi yang sebenarnya, skenario ini bekerja dengan sempurna tanpa masalah!

MikeyB
sumber