overlord 10 Geschrieben 23. Oktober 2006 Melden Geschrieben 23. Oktober 2006 Hallo Gemeinde! Habe gerade ein mehr oder weniger kleines Problem mit nem Samba-Server in einer W2k-Domäne. Sambarechner befindet sich im ADS und lief bisher eigentlich ohne größere Probleme. Seit einigen Tagen funktioniert die Authentifizierung nicht mehr korrekt, irgendetwas stimmt mit den Kerberostickets nicht! - werden nicht erneuert!? Ich vermute mal, dass event. ein Update querschiesst....konnte aber bisher noch keine genaue Ursache lokalisieren. Ich hoffe mal auf Eure Mithilfe. Die ADS-Tools funktionieren alle und liefern auch die entsprechenden Werte zurück: wbinfo -u wbinfo -g wbinfo -t net rpc testjoin -S server net lookup {dc|master|ldap} [domain] -> alles ok! NUR: net lookup kdc [REALM] -> liefert keine IP, kann also den KDC nicht finden und gerade festgestellt: [2006/10/23 10:08:05, 1] nsswitch/winbindd_user.c:winbindd_getpwuid(248) could not lookup sid S-1-5-21-1390067357-1677128483-682003330-1243 Ich habe auch mal die Maschine aus der Domäne genommen und erfolgreich wieder gejoined. Keine Besserung... So, vorab mal genug. Danke fürs Lesen und wer Hinweise hat, bitte her damit... Umgebung: samba-3.0.13-1.3 krb5-32bit-9.3-7.1 krbafs-1.2-5 krb5-1.4-16.4 krb5-client-1.4-16 krbafs-32bit-9.3-7 W2k Server (SP4)
overlord 10 Geschrieben 24. Oktober 2006 Autor Melden Geschrieben 24. Oktober 2006 btw, die chose scheint wieder zu brummen (Doing kerberos session setup), aber dennoch bleibt ein "net lookup kdc REALM" ohne Ergebnis.... Falls noch jemand Infos hat oder brauch bitte melden,thx. so long
blub 115 Geschrieben 29. Oktober 2006 Melden Geschrieben 29. Oktober 2006 hallo overloard, du kannst ja mal das Kerberoslogging am DC aktivieren --- aus der Technet Start Registry Editor. Add the following registry value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters Registry Value: LogLevel Value Type: REG_DWORD Value Data: 0x1 If the Parameters subkey does not exist, create it -- Dann bekommst du im Systemlog einige Hinweise. Dazu gibts einen KB-Artikel ("Troubleshooting Kerberos Errors") der bei der Auswertung hilft. Weiterhin ist das Kerberosprotokoll bei Fehlern direkt im Netzwerktrace recht gesprächig. cu blub
boardadmin 0 Geschrieben 29. Oktober 2006 Melden Geschrieben 29. Oktober 2006 Bitte immer die Quelle angeben: How to enable Kerberos event logging
overlord 10 Geschrieben 30. Oktober 2006 Autor Melden Geschrieben 30. Oktober 2006 Hi blub, jo thx! Logging hatte ich schon enabled, kam aber nicht wirklich weiter. Werde es aber nochmal prüfen....
blub 115 Geschrieben 30. Oktober 2006 Melden Geschrieben 30. Oktober 2006 Hallo overlord, es gibt auch noch das "kerberos debugging". Der Output übersteigt allerdings zumindest mein Kerberosknowhow. Such mal nach lsass.log in der technet. cu blub
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden