overlord 10 Geschrieben 23. Oktober 2006 Melden Teilen Geschrieben 23. Oktober 2006 Hallo Gemeinde! Habe gerade ein mehr oder weniger kleines Problem mit nem Samba-Server in einer W2k-Domäne. Sambarechner befindet sich im ADS und lief bisher eigentlich ohne größere Probleme. Seit einigen Tagen funktioniert die Authentifizierung nicht mehr korrekt, irgendetwas stimmt mit den Kerberostickets nicht! - werden nicht erneuert!? Ich vermute mal, dass event. ein Update querschiesst....konnte aber bisher noch keine genaue Ursache lokalisieren. Ich hoffe mal auf Eure Mithilfe. Die ADS-Tools funktionieren alle und liefern auch die entsprechenden Werte zurück: wbinfo -u wbinfo -g wbinfo -t net rpc testjoin -S server net lookup {dc|master|ldap} [domain] -> alles ok! NUR: net lookup kdc [REALM] -> liefert keine IP, kann also den KDC nicht finden und gerade festgestellt: [2006/10/23 10:08:05, 1] nsswitch/winbindd_user.c:winbindd_getpwuid(248) could not lookup sid S-1-5-21-1390067357-1677128483-682003330-1243 Ich habe auch mal die Maschine aus der Domäne genommen und erfolgreich wieder gejoined. Keine Besserung... So, vorab mal genug. Danke fürs Lesen und wer Hinweise hat, bitte her damit... Umgebung: samba-3.0.13-1.3 krb5-32bit-9.3-7.1 krbafs-1.2-5 krb5-1.4-16.4 krb5-client-1.4-16 krbafs-32bit-9.3-7 W2k Server (SP4) Zitieren Link zu diesem Kommentar
overlord 10 Geschrieben 24. Oktober 2006 Autor Melden Teilen Geschrieben 24. Oktober 2006 btw, die chose scheint wieder zu brummen (Doing kerberos session setup), aber dennoch bleibt ein "net lookup kdc REALM" ohne Ergebnis.... Falls noch jemand Infos hat oder brauch bitte melden,thx. so long Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 29. Oktober 2006 Melden Teilen Geschrieben 29. Oktober 2006 hallo overloard, du kannst ja mal das Kerberoslogging am DC aktivieren --- aus der Technet Start Registry Editor. Add the following registry value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters Registry Value: LogLevel Value Type: REG_DWORD Value Data: 0x1 If the Parameters subkey does not exist, create it -- Dann bekommst du im Systemlog einige Hinweise. Dazu gibts einen KB-Artikel ("Troubleshooting Kerberos Errors") der bei der Auswertung hilft. Weiterhin ist das Kerberosprotokoll bei Fehlern direkt im Netzwerktrace recht gesprächig. cu blub Zitieren Link zu diesem Kommentar
boardadmin 0 Geschrieben 29. Oktober 2006 Melden Teilen Geschrieben 29. Oktober 2006 Bitte immer die Quelle angeben: How to enable Kerberos event logging Zitieren Link zu diesem Kommentar
overlord 10 Geschrieben 30. Oktober 2006 Autor Melden Teilen Geschrieben 30. Oktober 2006 Hi blub, jo thx! Logging hatte ich schon enabled, kam aber nicht wirklich weiter. Werde es aber nochmal prüfen.... Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 30. Oktober 2006 Melden Teilen Geschrieben 30. Oktober 2006 Hallo overlord, es gibt auch noch das "kerberos debugging". Der Output übersteigt allerdings zumindest mein Kerberosknowhow. Such mal nach lsass.log in der technet. cu blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.