S.O. Ubuntu 18.04.4, Samba-Version 4.7.6-Ubuntu
Ich habe dieses Problem mit diesem Computer. Bei jedem Neustart des Systems wird winbind.service nicht ordnungsgemäß gestartet, und der Fehler "Taktversatz zu groß" wird in Protokollen aufgezeichnet.
winbind-Protokoll:
[2020/02/17 17:25:12.840317, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)
initialize_winbindd_cache: clearing cache and re-creating with version number 2
[2020/02/17 17:25:12.879543, 0] ../lib/util/become_daemon.c:124(daemon_ready)
STATUS=daemon 'winbindd' finished starting up and ready to serve connections
[2020/02/17 17:25:18.175567, 0] ../source3/librpc/crypto/gse.c:532(gse_get_client_auth_token)
gse_get_client_auth_token: gss_init_sec_context failed with [ Miscellaneous failure (see text): Clock skew too great](2529638949)
[2020/02/17 17:25:18.397020, 0] ../source3/librpc/crypto/gse.c:532(gse_get_client_auth_token)
gse_get_client_auth_token: gss_init_sec_context failed with [ Miscellaneous failure (see text): Clock skew too great](2529638949)
[2020/02/17 17:25:18.909264, 0] ../source3/librpc/crypto/gse.c:532(gse_get_client_auth_token)
gse_get_client_auth_token: gss_init_sec_context failed with [ Miscellaneous failure (see text): Clock skew too great](2529638949)
Sobald die Maschine gestartet wurde, kann ich manuell systemctl starte winbind neu
und es beginnt überhaupt ohne Probleme.
Ich habe jede mögliche Konfiguration überprüft und alles scheint in Ordnung zu sein. Außerdem habe ich die Maschine von Grund auf neu erstellt.
Ich habe den Zeitsynchronisations-Client chronisch konfiguriert und es auch mit systemd-timesync versucht. Die Maschine wird tatsächlich synchronisiert, wenn ich sie überprüfe.
Ich habe auch versucht, /lib/systemd/system/winbind.service
durch Hinzufügen von After = chrony.service zu bearbeiten, aber das macht keinen Unterschied.
Im DC zeigt chrony, dass Clients verbunden sind:
Hostname NTP Drop Int IntL Last Cmd Drop Int Last
===============================================================================
smb1.domain.club 181 0 6 - 36 0 0 - -
giorgilaptop.domain.club 3 0 12 - 40m 0 0 - -
plex.domain.club 110 0 6 - 0 0 0 - -
Auf dem Computer, der ausfällt, wird auch die richtige Quelle angezeigt.
localuser@smb1:~$ sudo chronyc sources
210 Number of sources = 1
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* dc1.domain.club 2 6 377 47 -12us[ -17us] +/- 20ms
Der Computer wurde mit den folgenden Schritten erstellt:
https: //wiki.samba. org / index.php / Setting_up_Samba_as_a_Domain_Member
EDIT: [1110] Ich habe die VM auf die WMware-Workstation heruntergeladen und WinBind ohne Probleme gestartet. Dies müsste in irgendeiner Weise mit esxi und Zeitsynchronisation zusammenhängen.
Проблема решена.
Если вы используете Vmware ESXi, как и я, вам необходимо включить синхронизацию ntp в настройках ESXi, чтобы она запускалась с хоста, и добавить те же пулы, что и я. ваш контроллер домена настроен на сервере ntp.
Затем для каждой виртуальной машины, которая является членом домена, вы должны включить в параметрах инструментов vmware синхронизацию времени между гостевой машиной и хостом.
вы справились с проблемой в краткосрочной перспективе, но основная проблема все еще существует, поскольку вы не устранили реальную проблему и вызвали внутрикорпоративную проблему безопасности
Проблема
Ваш Linux клиенты не могут подключиться к AD после перезагрузки
Причина
Когда используется winbind, клиент, пытающийся подключиться к AD, должен быть синхронизирован со временем AD, отличаясь не более чем на 5 минут.
Ваше решение не работает. полностью работает beacause
Решение, которое вы предоставили, работает, только если установлены vmtools, иначе эта проблема повторяется, поскольку виртуальная машина не может получить время со своего хоста.
Проблема безопасности вызвала
указание хоста AD и ESXi, напрямую указывающего им на общедоступные NTP, у вас возникнет проблема безопасности, которая не рекомендуется Microsoft или VMware.
Я бы предложил установить сервер NTP и указать все AD. и хосты ESX к внутреннему серверу NTP, и если какие-либо клиенты не имеют vmtools, вы можете сопоставить их с внутренним NTP.