QNAP TS-809U: Domänenbenutzer / -gruppen verschwinden, und der Server muss der AD-Domäne erneut hinzugefügt werden
6820
fiskfisk
Wir haben eine TS809U, mit der wir der Domäne beigetreten sind. Freigaben und Zugriffsrechte funktionieren wie gewohnt mit den Domänenbenutzern und alles ist so, wie es sein sollte. Nach einigen Wochen / Monat verschwinden jedoch die Domänenbenutzer und -gruppen aus dem TS809, und ich muss die Domäne erneut manuell hinzufügen. Nach dem erneuten Beitritt zur Domäne wiederholt sich der Prozess innerhalb des gleichen Zeitrahmens, und ich muss der Domäne erneut beitreten.
Es gibt keine Fehler in den Protokollen in der Webschnittstelle und es zeigt an, dass der NAS erfolgreich der Domäne beitritt. Ich habe den TS809U auf die neueste Firmware 4.0.3 (von 3.x) aktualisiert, in der Hoffnung, dass dies dadurch behoben wird. Das Problem bleibt jedoch bestehen.
Hat jemand das schon mal gesehen und was könnte das Problem sein oder wie kann es weiter behoben werden?
Die einzige Nachricht, die ich in der Ereignisanzeige finden konnte, die auf den NAS verweist, ist ein 5722, der möglicherweise in die Richtung des nachstehenden Kommentars zeigt:
Das Sitzungssetup vom Computer konnte NASC473CDnicht authentifiziert werden. Die Namen der Konten, auf die in der Sicherheitsdatenbank verwiesen wird, lauten NASC473CD$. Der folgende Fehler ist aufgetreten: Zugriff wird verweigert.
Der Zeitpunkt zwischen dem Verschwinden und dem erneuten Erscheinen der Einträge scheint 14 Tage zu sein. Unsere Domain basiert (noch) auf Windows Server 2003.
Aktualisieren
Update: Das Problem ist wieder aufgetaucht, aber die Protokolle zeigten nichts Interessantes. wbinfo -t(Testen des Vertrauensgeheimnisses) funktionierte nicht und (nicht überraschend) auch nicht wbinfo -c(Ändern des Vertrauensgeheimnisses) . Ich habe festgestellt, dass der aktuelle kerberos5-Ticketshop nicht aktualisiert wurde und die Gültigkeit der kerberos-Tickets abgelaufen ist, die möglicherweise verbunden sind. Ich habe jetzt /sbin/update_krb5_ticketdie Crontab hinzugefügt, um zu sehen, ob das hilft (und es wird jetzt jede Stunde aktualisiert).
Update 2014-02-25
Immer noch kein Erfolg. log.wb-DOMAINNAMEzeigt, dass uns anscheinend der Zugriff verweigert wird, wahrscheinlich aufgrund abgelaufener Anmeldeinformationen oder ungültiger Geheimnisse. Sie sind sich nicht sicher, wie Sie vorgehen sollen, da die Kerberos-Ticketliste ( klist) ein gültiges Ticket zeigte, als es auftrat.
log.wb-DOMAINNAMEzeigt an:
[2014/02/25 03:05:20.545176, 3] winbindd/winbindd_pam.c:1902(winbindd_dual_pam_auth_crap) could not open handle to NETLOGON pipe (error: NT_STATUS_ACCESS_DENIED) [2014/02/25 03:05:20.545198, 2] winbindd/winbindd_pam.c:2003(winbindd_dual_pam_auth_crap) NTLM CRAP authentication for user [DOMAINNAME]\[MACHINE$] returned NT_STATUS_ACCESS_DENIED (PAM: 4) [2014/02/25 03:05:20.548424, 3] winbindd/winbindd_pam.c:1841(winbindd_dual_pam_auth_crap) [20497]: pam auth crap domain: DOMAINNAME user: MACHINE$
(Die gleichen Fehlermeldungen werden angezeigt, wenn Sie sich auf Benutzer beziehen). Zumindest scheint das Problem zu sein, dass der Server antwortet, ACCESS_DENIEDwenn Samba versucht, die NETLOGONRessource zu nutzen, soweit ich das verstanden habe. Ich entdeckte jedoch, dass einer der DNS-Server auf dem TS809 auf einen externen Server eingestellt war - und nicht auf einen Server in der Domäne. Ich habe die DNS-Server so aktualisiert, dass sie auf unsere AD-DC-s verweisen, um zu sehen, ob dies der Grund sein könnte (wenn sie auf den externen Server übergeht, wird der Host nicht gefunden, anstatt Timeouts für interne, domänenbasierte Hosts.) .
Update 2015-03-04. Automatisiertes Wiedervereinigungsskript, das als Workaround bereitgestellt wird.
Wir sind immer noch nicht näher an der Festlegung einer dauerhaften Lösung, aber wir sehen derzeit jede Woche Auszeiten. Dies scheint die gleiche Zeit wie ein gültiges Kerberos-Ticket zu sein, aber ich konnte keine Einstellung finden, die es ändert.
Ich habe jedoch ein kleines Skript erstellt, das überprüft, ob wir die Benutzerliste aus der Domäne verloren haben, und bei Bedarf dem Server erneut beitritt. (Mit Sambas net rpc joinBefehl .) "Benutzername" ist ein Benutzer in der Domäne, der Zugriff auf Computer zur Domäne haben kann (nur für diesen Zweck haben wir einen Benutzer für qnap erstellt):
COUNT=`wbinfo -g | grep DOMAINNAME | wc -l` if [ "$COUNT" -lt "1" ] then /usr/local/samba/bin/net rpc join -Uusername%password fi
Dieses Skript wird auf dem qnap mit cron ausgeführt (suchen Sie in Google nach qnap cron, wie Sie cron richtig einrichten). Das hat in den letzten Monaten anständig funktioniert.
Treten Sie tatsächlich der Domäne bei oder aktivieren Sie nur die Authentifizierung über RADIUS usw.? Was ist mit Protokollen auf einem primären DC, die etwas über die Auswirkungen einer fehlgeschlagenen Vertrauensstellung oder fehlgeschlagener Authentifizierungen von diesem Gerät melden? Ein weiterer zufälliger Gedanke ist, dass die Anmeldeinformationen möglicherweise aufgrund der zwischengespeicherten Anmeldeinformationszeit (standardmäßig 30 Tage) gelöscht werden.
Andrew M. vor 10 Jahren
0
Eigentlich der Domäne beitreten Das NAS-Konto kann unter Computer in AD angezeigt werden. Dies ist das einzige Konto, das für den NAS erstellt wurde. Der NAS speichert die Anmeldeinformationen zwischenspeichern und erneuert sie nicht, obwohl dies eine Standard-Samba-Installation sein sollte. Ich habe die einzige Fehlermeldung, die ich in der Ereignisanzeige finden konnte, zum Q hinzugefügt (5722, was möglicherweise darauf hinweist, dass Sie auf der richtigen Spur sind). Wenn jemand Erfahrung mit der Fehlersuche von der NAS-Seite hat, wäre dies hilfreich!
fiskfisk vor 10 Jahren
0
Haben Sie andere Gruppenrichtlinien als die Standardrichtlinien (falls unverändert), die für die Organisationseinheit gelten, in der sich der NAS befindet? Registrieren Sie auch den NAS mit einem Konto (Ihrem Domänenadministratorkonto) und verwenden Sie anschließend die nachfolgende Authentifizierung für ein anderes Konto (eines, das für den NAS selbst erstellt wurde) gemäß den Best Practices? Ein anderer Gedanke, den ich habe, ist, dass es sich oftmals darum bemüht, sich zu authentifizieren, und manchmal aus und wieder heraus und löst Ihr Konten- oder Gerätesperrungslimit aus (dies war einmal in unserer Domäne mit einem Gerät der Fall). Ich wünschte, ich hätte hier ein ähnliches Gerät zum Testen ...
Andrew M. vor 10 Jahren
0
Ich hatte nur einen anderen Gedanken ... Wir hatten RADIUS-Authentifizierungsprobleme, als eines unserer Edge-Geräte aus irgendeinem Grund die Synchronisierung verpasste. Und in letzter Zeit ein Problem mit DNS. Nur ein paar Gedanken ...
Andrew M. vor 10 Jahren
0
Die Uhrzeit ist synchron, und DNS sollte auf demselben AD-Server wie der PDC gehostet werden. Ich werde herausfinden, ob es in den nächsten 7 Tagen abläuft, wenn es sich um ein 14-tägiges Intervall handelt. :-) Ich bin ziemlich sicher, dass der QNAP keine anderen AD-Anmeldeinformationen unterstützt, und ich denke, er musste nicht erneut autorisieren, nachdem er der Domäne erneut beigetreten ist. Ich versuche herauszufinden, ob es nur am Montag oder so etwas passiert, und zwar aufgrund eines Zeitlimits, da an Wochenenden keine Authentifizierungsanfragen oder ähnliche Probleme auftreten. Gemäß Rsop gibt es Kontorichtlinien, die auf die Computergruppe in der Gesamtstruktur angewendet werden. Vielen Dank für die bisherige Hilfe!
fiskfisk vor 10 Jahren
0
Haben Sie darüber nachgedacht und die letzten Ideen, die ich habe, sind: Vielleicht hängt die Domain an einer alten Registrierung, und Sie müssen sie löschen, bevor Sie sie erneut beitreten. Vielleicht ist einer der Controller nicht mehr synchron? Vielleicht hat ein Update die Dinge kaputt gemacht? Vielleicht liegt es daran, dass Sie auf einer 2003 basierten Domäne laufen (ich bin gerade dabei, mich von einer Domäne zu entfernen). Hat es jemals länger funktioniert, als es jetzt funktioniert? Hatte es andere Probleme? Haben Sie ein Firmware-Downgrade in Betracht gezogen? Ich versuche nur, hilfreich zu sein. Sie haben diese Optionen wahrscheinlich bereits in Betracht gezogen ...
Andrew M. vor 10 Jahren
0
Ich habe die meisten dieser Optionen ohne Ergebnis ausprobiert, es hat nie funktioniert und wir haben es mit mehreren Firmware-Versionen versucht. Ich habe mich jedoch etwas mehr mit der Samba-Konfiguration beschäftigt und den Logging-Level deutlich erhöht. Hoffentlich wird es nächstes Mal etwas Nützliches zeigen, das uns mehr erzählen könnte. 'max log size = 2000' und 'log level 5' für alle, die sich fragen (/etc/config/smb.conf). (2MB-Protokolldatei, 5 ist ziemlich viel Debug-Informationen)
fiskfisk vor 10 Jahren
0
Ich habe die Frage in den letzten 14 Tagen zweimal mit etwas mehr Informationen aktualisiert. Immer noch kein Erfolg, obwohl ich ziemlich sicher bin, dass Authentifizierungs- / Vertrauensbeziehungen zeitlich begrenzt sind.
fiskfisk vor 10 Jahren
0
1 Antwort auf die Frage
0
Berndinox
Scheint mir ein Problem mit dem Computerkontokennwort zu sein. Das Design wird in einer 2k3-Domäne von Design alle 30 Tage generiert. Das Zurücksetzen des Computerkontokennworts kann jedoch vom Client jederzeit ausgelöst werden.
Normalerweise erstellt das Mitglied zuerst das neue Passwort und zieht es dann in den DC.
Aus irgendeinem Grund sieht es so aus, als würde Ihr qnap nach zwei Wochen ein neues Passwort generieren, es aber dann nicht in der Lage sein, es in den DC zu verschieben, weil der sichere Kanal beschädigt ist.
Ich kenne die von qnap angebotenen Funktionen nicht. Können Sie sich über ssh anmelden? Ich denke es ist ein Unix-basiertes System ?! Möglicherweise gibt es eine Option zum Deaktivieren des Computerkontokennworts. Das Vertrauen wird nach diesen 30 Tagen nicht aufhören zu arbeiten.
Ja, das stimmt auch mit meinem Verdacht überein. Es ist Linux-basiert und verwendet Samba als SMB-Implementierung. Ich habe die Ausführlichkeit der Protokollierung erhöht, um zu sehen, ob wir mehr Debug-Informationen erhalten können (siehe Kommentar zur Frage, wenn Sie sich fragen, welche Einstellungen dies tun).
fiskfisk vor 10 Jahren
0