未解决
此帖子已超过 5 年
Community Manager
•
7.2K 消息
0
1476
Data Domain上使用主机名、FQDN或IP地址等访问被拒绝
Data Domain上使用主机名、FQDN或IP地址等访问被拒绝
转载请在文首保留原文出处:EMC中文支持论坛https://community.emc.com/go/chinese
介绍
本文描述了如何使用本地的通用 Internet 文件服务(CIFS)协议来访问基于Windows Media服务器的 Data Domain 系统。
症状
· Data Domain 系统无法连接域控制器(Domain Controller)并且错误消息提示身份验证问题
· 在 Data Domain 系统上无法连接或浏览共享(Share)
· clients.log 里包含如下错误信息
S_LOGON_FAILURE [1, pid=30657/10.11.2.26] smbd/sesssetup.c:reply_spnego_kerberos(322) Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE (ads_verify_ticket ret error: NT_STATUS_LOGON_FAILURE)! [2010/10/08 14:40:01.307257, 1, pid=30657/10.11.2.26] smbd/error.c:error_packet_set(159) error packet at smbd/sesssetup.c(327) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
更多信息
1. /backup CIFS 共享不能含有星号(*),不能将 * 作为一个用户。如果用户含有*,那么映射的 /backup 共享将不可用。因为Data Domain 会发送 * 作为用户值到 Active Directory 来进行身份验证。并且* 在 AD 中也不是一个有效的用户名称。星号仅可用于客户端。
2. 如果你想通过工作组或 AD 访问 Data Domain 系统,最好指定域前缀或DDR 主机名。如果你可以通过 IP 地址访问,但使用主机名或FQDN 却不行,这说明是DNS 的问题。在 DNS 服务器上做出必要的更改来保证正向和反向查找是正确的。如果不能更改DNS,那么在 DDR 和 Media服务器上添加一个本地主机条目可以解决这个问题。例如 "net hosts add "
3. 如果你无法更改文件夹的权限或无法获取所有权,必须将 CIFS 共享映射成 DataDomain 的 SYSADMIN 帐户,因为SYSADMIN 帐户拥有对所有文件夹的权限执行必要更改的管理员特权。
4. 在 Windows 工作站,验证 Windows 是否保存了任何 Data Domain 系统的用户名或密码。如果已经保存了密码,Windows 密钥数据库可能已经损坏。这将导致Data Domain 系统每次都弹出身份验证,即便密码已经输入正确。
5. 方法 A 和方法 B
a. 进入开始菜单
b. 点击运行
c. 在运行窗口中,输入 control keymgr.dll
d. 进入开始。
e. 设置
f. 控制面板
g. 双击用户
h. 选择高级选项卡。
i. 选择管理密码
j. 选择 Data Domain 系统的主机名、IP 地址或 FQDN,然后单击删除。
6. 在 Windows 机器上,打开一个命令行。
a. 开始->运行->cmd.
b. 验证USERDNSDOMAIN 和 USERDOMAIN
# SET
C:\Documents and Settings\XYZ>set
ALLUSERSPROFILE=C:\Documents and Settings\All Users
USERDNSDOMAIN=ABC.COM
USERDOMAIN=CORP
USERNAME=XYZ
USERPROFILE=C:\Documents and Settings\XYZ
VSEDEFLOGDIR=C:\Documents and Settings\All Users\Application
注意:在Data Domain 系统上通过注册表项,可查看USERDOMAIN 名称和工作组是否匹配,这用于身份验证。
c. 验证 DNS 服务器与 Data Domain 系统的 DNS 是否相匹配
#ipconfig /all
7. 关于 Data Domain 系统上检查以下内容
a. 验证域控制器的 IP 地址
#cifs show config
b. 验证Data Domain DNS,域控制器的 DNS 和 Media服务器的DNS 是否与 Data Domain 系统相匹配,或者能否成功地访问Data Domain 系统。
#net show DNS
8. 如果 Data Domain 系统的 DNS、 域控制器和 Media服务器的DNS 不匹配,必须在Data Domain 系统上执行以下内容。
a. 使用下面的命令验证 cifs 连接处于活动状态:
#iostate 2
b. 将 CIFS 身份验证设置为工作组模式
#cifs set authentication workgroup workgroup
注意: 一旦 Data Domain 系统降级到工作组模式,进入域控制器查找Data Domain 系统的主机名并将其删除。
c. 将身份验证模式设置成 Active Directory.
#cifs set authentication active-directory abc.com < Ip address of Primary Domain Controller>
Eg: cifs set authentication active-directory abc.com 192.168.3.4 10.1.1.10
d. 设置主和辅 DNS
#net set dns Eg: #net set dns 192.168.3.1 10.1.1.1
9. 从注册表项验证 Media服务器上的 USERDOMAIN 是否与 Data Domain系统工作组相匹配。
#reg show config.windows
sysadmin@dd160-1# reg show config.windows
config.windows.allow-data-access = 0
config.windows.external_krb5_conf =
config.windows.external_ldap_conf =
config.windows.global.authentication = workgroup
config.windows.global.pw_server = *
config.windows.global.raw.idmap-type = rid
config.windows.global.raw.winbind_compat_mode = false
config.windows.global.workgroup = workgroup
config.windows.migration.f5 = done
config.windows.migration.idmap = true
config.windows.migration.lug = true
config.windows.migration.maccount = true
config.windows.migration.msid = true
config.windows.pam_access = false
config.windows.tls_cacerts = /ddr/var/cacerts/ca.cer
注意: 如果 Data Domain 系统工作组与Media服务器的 USERDOMAIN 不匹配,身份验证将失败。必须设置以下注册表项。
#reg set config.windows.global.workgroup= 的 USERDOMAIN>
例如,
#reg set config.windows.global.workgroup=XYZ
10. 测试连接到通过 IP 地址、 主机名和FDQN /backup。
应用于
所有版本的Data Domain系统