Restablezca la confianza del dominio con estaciones de trabajo desde el servidor Samba 3.x

8

Tengo problemas en una red que heredé con un servidor Samba 3 que actúa como controlador de dominio y muchas, pero no todas, las PC con Windows 7 Pro. Los problemas descritos aquí y aquí no resuelven mi problema.

En el arranque, en algunas PC, recibo un mensaje de error que dice que la relación de confianza entre esta estación de trabajo y el controlador de dominio ha fallado . Mis búsquedas en Google explican cómo eliminar / volver a agregar la máquina del dominio, y esto requiere intervención manual, y a veces no funciona. Lo que he estado haciendo, ya que éste es intermitente, incluso con sistemas que están siendo registradas en Aceptar, es ejecutar el siguiente comando desde un símbolo del sistema elevado en cada PC: echo 192.168.0.3 smb > c:\windows\system32\drivers\etc\lmhosts. Luego reinicio, y el error se mantiene alejado.

Lo extraño es que de vez en cuando, solo asume que mi servidor está en una dirección IP diferente. Las computadoras a veces piensan que el servidor SMB es en 192.168.0.1lugar de 192.168.0.3. Puedo verificar esto, porque cuando lo hago net use \\smb, obtengo un Network name not found, pero puedo hacer ping y obtener la dirección correcta. Cuando hago un new view \\smb, iría al servidor anterior (que ahora es 192.168.0.1, aunque nunca tuvo este nombre). Hacer una net view \\192.168.0.3muestra el servidor correcto, luego me permite iniciar sesión en Windows solo una vez, hasta que se reinicie.

Mi problema es que necesito entender por qué sucede esto, así que no necesito tocar todas las PC. Es una solución rápida, una vez que todo se carga, pero no es ideal. A continuación se muestra el resultado de mi testparmcomando en el controlador de dominio primario:

Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Processing section "[netlogon]"
Processing section "[homes]"
Processing section "[Programs]"
Processing section "[Login]"
Processing section "[Windsor]"
Processing section "[Office]"
Processing section "[Admin]"
Processing section "[Student_Share]"
Processing section "[Tech_Tips]"
Processing section "[Tech_Apps]"
Processing section "[DropBox]"
Processing section "[SSS]"
Processing section "[JMC]"
Processing section "[DRC]"
Processing section "[FASD]"
Processing section "[CLA]"
Processing section "[YAPS]"
Processing section "[IMAGES]"
Processing section "[Printer_Drivers]"
Processing section "[Self_Serve]"
Loaded services file OK.
WARNING: You have some share names that are longer than 12 characters.
These may not be accessible to some older clients.
(Eg. Windows9x, WindowsMe, and smbclient prior to Samba 3.0.)
Server role: ROLE_DOMAIN_PDC

Todas las acciones están bien. El tiempo en cada estación de trabajo coincide con el controlador de dominio ( NET TIME \\SMB /SET /Yen la secuencia de comandos de inicio), y puedo iniciar sesión solo como administrador local. ¿Qué puedo buscar en mi servidor Samba para no requerir esta extraña solución?

Lucas canadiense
fuente

Respuestas:

4

¿Hay un servidor Samba de respaldo ejecutándose en la red, que también es el servidor DNS? ¿Intentó elegirse todo el tiempo para WINS? Cambie el nivel del sistema operativo para 240que el servidor WINS principal gane (255). Intente deshabilitar el servidor Samba de respaldo. Después de deshabilitar y esperar unas 24 horas, ¿se conectan las máquinas correctamente?

Herramientas que puede usar para resolver esto: principalmente solo la herramienta smbfind incluida en Debian

Boris_yo
fuente
0

Es probable que tenga problemas en parte porque Samba 3 DC realmente no habla la versión de Active Directory con la que Windows 7 Pro fue diseñado desde cero para operar. Samba 3 no tiene de forma nativa la operatividad Kerberos o DNS específica de Microsoft de la que dependen los entornos AD modernos. Por esa razón, recomendaría actualizar su dominio de Samba 3 a Samba4 (el enlace es para una actualización en el lugar) para aprovechar la compatibilidad actualizada de AD, incluidas las capacidades Kerberos y DNS que probablemente harán que sus sistemas Win7 funcionen mucho mejor y también proporciona cosas como la directiva de grupo que le permitirá no tener que tocar cada estación de trabajo repetidamente para realizar cambios de configuración.

Aparte de eso, en su configuración actual, me pregunto por qué sigue teniendo que cambiar el archivo LMHOSTS. ¿Se está cambiando de alguna manera entre cuando ejecutas ese comando? ¿Has revisado su contenido antes de hacer esto? Si tiene que configurar manualmente la resolución de nombres en cada estación de trabajo, mire el archivo HOSTS en el mismo directorio que LMHOSTS y asegúrese de que no haya entradas que continúen apuntando al servidor 192.168.0.1. Además, ¿qué direcciones están configuradas para utilizar sus sistemas Win7 para DNS primario / secundario? ¿Apuntan solo a servidores DNS en Internet (por ejemplo, los servidores de su ISP o de Google), o hay alguna dirección interna?

Incluso si elige actualizar Samba, tenga en cuenta que cualquier cambio manual en los archivos HOSTS o LMHOSTS en sus estaciones de trabajo se utilizará en lugar de consultar DNS para esas entradas, por lo que es posible que necesite limpiar esto en cada estación de trabajo (asegúrese de que HOSTS solo tenga una entrada para 127.0.0.1 localhost).

nedm
fuente
Veo que resolvió esto (¡publicado mientras escribía mi respuesta!) Y me alegro de haber encontrado una solución que funcionó. Para hacer su vida más fácil en el futuro, todavía recomiendo buscar la actualización a un dominio Samba4.
nedm
El archivo LMHosts no existe por defecto. Se usa solo para la resolución WINS; es por eso que puedo hacer ping y obtener la dirección correcta, pero net viewcon el nombre va a una máquina diferente
canadiense Luke
Correcto, pero aún así no debería tener que ejecutar el mismo comando para configurarlo repetidamente una vez que lo haya creado, a menos que eso no sea lo que quiso decir con respecto a la naturaleza intermitente del problema. Si se cambiara de otra manera sin su intervención, algo más tendría que estar sucediendo.
nedm
No, una vez que configuré la opción una vez, se atascó
Canadian Luke
Ya veo, mi malentendido entonces. De nuevo, me alegro de que lo hayas solucionado.
nedm