2 votes

Travis-Zadara avatar

Impossible de contacter un KDC pour le domaine demandé dans log.winbindd-dc-connect toutes les 10 secondes

Demandé el 20 de Mars, 2017
Quand la question a-t-elle été
12404 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai une boîte Ubuntu, utilisée pour les partages de fichiers cifs, qui utilise Samba. Elle est reliée à un domaine Active Directory. Nous utilisons des domaines de confiance. Nous avons une infrastructure AD assez importante avec de nombreux domaines enfants. Cette boîte est reliée à l'un des domaines enfants.

Le problème est que je reçois constamment cette erreur (voir ci-dessous) environ toutes les 10 secondes dans le log.winbindd-dc-connect. Ce qui est intéressant, c'est que les cifs fonctionnent, mais il semble que les performances soient affectées. Je constate que le CPU est constamment élevé sur cette machine. Je pense que les erreurs de journal et l'impact sur les performances sont liés. Je me demande simplement si quelqu'un a déjà rencontré ce problème.

Je suis plutôt du genre Windows que Linux, donc ma compréhension de Samba est assez limitée. J'essaie d'apprendre au fur et à mesure. Merci d'avance.

[2017/03/20 17:26:22.225186, 0, pid=19851] ../source3/libsmb/cliconnect.c:1921(cli_session_setup_spnego_send) Échec de la tentative d'accès à cifs/domaincontroller.subdomain.domain.local@subdomain.domain.LOCAL pour xxxxxx : Impossible de contacter un KDC pour le domaine demandé.

Demandé el 20 de Mars, 2017 par Travis-Zadara

Réponse

Trop de publicités?

2voto

George Erhard avatar
George Erhard Points 774

Cette erreur vous indique que votre système tente de s'authentifier auprès d'un contrôleur de domaine, mais qu'il ne peut le faire car aucun n'est disponible. Étant donné que l'erreur se produit toutes les 10 secondes, il peut s'agir de nouvelles tentatives, le système continuant à essayer d'atteindre le partage SAMBA.

J'ai remarqué que votre demande d'authentification comporte la dernière lettre LOCAL en majuscules - essayez-la en minuscules (puisque la partie nom d'hôte de l'adresse est également en minuscules). Je pensais que Samba ne faisait pas de distinction entre les majuscules et les minuscules, mais je me suis déjà fait avoir par la casse.

Continuez à vérifier la connexion / bande passante entre ce système et le KDC. Prenez en compte les temps de ping, le taux de paquets abandonnés, et ainsi de suite.

Vérifiez ensuite que les ports TCP 139 et 445 et les ports UDP 137 et 138 sont OUVERTS, dans les deux sens de sortie et d'entrée, sur tous les pare-feu entre votre système et le contrôleur de domaine. Vérifiez les journaux du pare-feu pour voir si des paquets dans ces plages sont abandonnés en raison de la charge du proc/réseau. Si le pare-feu est saturé, envisagez de configurer un DC en lecture seule dans le même sous-réseau que le système Ubuntu, afin que le trafic d'authentification n'ait pas à franchir de pare-feu. Le RDC n'aura besoin de se synchroniser que quelques fois par jour, plutôt que de transmettre constamment des demandes d'authentification. Cela devrait donc réduire la charge du pare-feu.

Répondu el 20 de Mars, 2017 par George Erhard (774 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X