转载请在文首保留原文出处：EMC中文支持论坛https://community.emc.com/go/chinese                         

       本文描述了如何使用本地的通用 Internet 文件服务（CIFS）协议来访问基于Windows Media服务器的 Data Domain 系统。

·         Data Domain 系统无法连接域控制器（Domain Controller）并且错误消息提示身份验证问题

·         在 Data Domain 系统上无法连接或浏览共享（Share）

·         clients.log 里包含如下错误信息

S_LOGON_FAILURE [1, pid=30657/10.11.2.26] smbd/sesssetup.c:reply_spnego_kerberos(322) Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE (ads_verify_ticket ret error: NT_STATUS_LOGON_FAILURE)! [2010/10/08 14:40:01.307257, 1, pid=30657/10.11.2.26] smbd/error.c:error_packet_set(159) error packet at smbd/sesssetup.c(327) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE

1.     /backup CIFS 共享不能含有星号（*），不能将 * 作为一个用户。如果用户含有*，那么映射的 /backup 共享将不可用。因为Data Domain 会发送 * 作为用户值到 Active Directory 来进行身份验证。并且* 在 AD 中也不是一个有效的用户名称。星号仅可用于客户端。

2.     如果你想通过工作组或 AD 访问 Data Domain 系统，最好指定域前缀或DDR 主机名。如果你可以通过 IP 地址访问，但使用主机名或FQDN 却不行，这说明是DNS 的问题。在 DNS 服务器上做出必要的更改来保证正向和反向查找是正确的。如果不能更改DNS，那么在 DDR 和 Media服务器上添加一个本地主机条目可以解决这个问题。例如 "net hosts add "

3.     如果你无法更改文件夹的权限或无法获取所有权，必须将 CIFS 共享映射成 DataDomain 的 SYSADMIN 帐户，因为SYSADMIN 帐户拥有对所有文件夹的权限执行必要更改的管理员特权。

4.     在 Windows 工作站，验证 Windows 是否保存了任何 Data Domain 系统的用户名或密码。如果已经保存了密码，Windows 密钥数据库可能已经损坏。这将导致Data Domain 系统每次都弹出身份验证，即便密码已经输入正确。

5.     方法 A 和方法 B

a.     进入开始菜单

b.     点击运行

c.     在运行窗口中，输入 control keymgr.dll

d.     进入开始。

e.     设置

f.      控制面板

g.     双击用户

h.     选择高级选项卡。

i.      选择管理密码

j.      选择 Data Domain 系统的主机名、IP 地址或 FQDN，然后单击删除。

6.     在 Windows 机器上，打开一个命令行。

a.     开始->运行->cmd.

b.     验证USERDNSDOMAIN 和 USERDOMAIN

# SET

C:\Documents and Settings\XYZ>set

ALLUSERSPROFILE=C:\Documents and Settings\All Users

USERDNSDOMAIN=ABC.COM

USERDOMAIN=CORP

USERNAME=XYZ

USERPROFILE=C:\Documents and Settings\XYZ

VSEDEFLOGDIR=C:\Documents and Settings\All Users\Application

注意：在Data Domain 系统上通过注册表项，可查看USERDOMAIN 名称和工作组是否匹配，这用于身份验证。

c.     验证 DNS 服务器与 Data Domain 系统的 DNS 是否相匹配

#ipconfig /all

7.     关于 Data Domain 系统上检查以下内容

a.     验证域控制器的 IP 地址

#cifs show config

b.     验证Data Domain DNS，域控制器的 DNS 和 Media服务器的DNS 是否与 Data Domain 系统相匹配，或者能否成功地访问Data Domain 系统。

#net show DNS

8.     如果 Data Domain 系统的 DNS、 域控制器和 Media服务器的DNS 不匹配，必须在Data Domain 系统上执行以下内容。

a.     使用下面的命令验证 cifs 连接处于活动状态：

#iostate 2

b.     将 CIFS 身份验证设置为工作组模式

#cifs set authentication workgroup workgroup

注意： 一旦 Data Domain 系统降级到工作组模式，进入域控制器查找Data Domain 系统的主机名并将其删除。

c.     将身份验证模式设置成 Active Directory.

#cifs set authentication active-directory abc.com < Ip address of Primary Domain Controller>

Eg: cifs set authentication active-directory abc.com 192.168.3.4 10.1.1.10

d.     设置主和辅 DNS

#net set dns Eg: #net set dns 192.168.3.1 10.1.1.1

9.     从注册表项验证 Media服务器上的 USERDOMAIN 是否与 Data Domain系统工作组相匹配。

#reg show config.windows

sysadmin@dd160-1# reg show config.windows

config.windows.allow-data-access = 0

config.windows.external_krb5_conf =

config.windows.external_ldap_conf =

config.windows.global.authentication = workgroup

config.windows.global.pw_server = *

config.windows.global.raw.idmap-type = rid

config.windows.global.raw.winbind_compat_mode = false

config.windows.global.workgroup = workgroup

config.windows.migration.f5 = done

config.windows.migration.idmap = true

config.windows.migration.lug = true

config.windows.migration.maccount = true

config.windows.migration.msid = true

config.windows.pam_access = false

config.windows.tls_cacerts = /ddr/var/cacerts/ca.cer

注意： 如果 Data Domain 系统工作组与Media服务器的 USERDOMAIN 不匹配，身份验证将失败。必须设置以下注册表项。

#reg set config.windows.global.workgroup= 的 USERDOMAIN>

例如，

#reg set config.windows.global.workgroup=XYZ

10.  测试连接到通过 IP 地址、 主机名和FDQN /backup。

所有版本的Data Domain系统