Active-Directory

無法每 10 秒聯繫 log.winbindd-dc-connect 中請求領域的任何 KDC

  • March 20, 2017

我有一個 Ubuntu 盒子,用於 cifs 文件共享,它使用 Samba。它已加入 Active Directory 域。我們正在使用受信任的域。我們有一個相當大的 AD 基礎設施,其中包含許多子域。此框已加入其中一個子域。

我的問題是我在 log.winbindd-dc-connect 中每隔 10 秒就會不斷收到此錯誤(見下文)。有趣的是,cifs 確實有效,但似乎性能受到了影響。我確實看到這台機器上的 CPU 一直很高。我認為日誌錯誤和性能影響是相關的。只是想知道是否有人見過這個。

我比 Linux 更喜歡 Windows,所以我對 Samba 的理解非常有限。我邊走邊學。先感謝您。

$$ 2017/03/20 17:26:22.225186, 0, pid=19851 $$../source3/libsmb/cliconnect.c:1921(cli_session_setup_spnego_send) Kinit for xxxxxx 訪問 cifs/domaincontroller.subdomain.domain.local@subdomain.domain.LOCAL 失敗:無法聯繫任何 KDC 請求領域

該錯誤告訴您您的系統正在嘗試針對域控制器進行身份驗證,但由於沒有可用的域控制器,因此無法這樣做。由於每 10 秒一次,因此在系統繼續嘗試訪問 SAMBA 共享時,其中許多可能會重試。

我注意到您的身份驗證請求的最後一個 LOCAL 大寫 - 嘗試小寫(因為地址的主機名部分也是小寫)。會認為 Samba 不區分大小寫,但我之前曾被大小寫絆倒。

繼續驗證此系統和 KDC 之間的連接/頻寬。考慮 ping 時間、丟包率等。

然後驗證 TCP 埠 139 和 445 以及 UDP 埠 137 和 138 是否在您的系統和域控制器之間的任何防火牆上在出口和入口方向都是開放的。檢查防火牆日誌以查看這些範圍內的數據包是否由於 proc/network 負載而被丟棄。如果防火牆被撞,請考慮在與 Ubuntu 系統相同的子網中設置只讀 DC,以便身份驗證流量不必橋接防火牆。RDC 每天只需要同步幾次,而不是不斷地傳遞身份驗證請求。所以它應該減少防火牆負載。

引用自:https://serverfault.com/questions/839511