开始新对话

未解决

此帖子已超过 5 年

Community Manager

 • 

7.2K 消息

1476

2014年7月2日 22:00

Data Domain上使用主机名、FQDN或IP地址等访问被拒绝

​ ​
​ ​

​Data Domain​​上使用主机名、​​FQDN​​或​​IP​​地址等访问被拒绝​

​ ​
​ ​

​转载请在文首保留原文出处:​​EMC​​中文支持论坛​​https://community.emc.com/go/chinese​​ ​​ ​Weibo Icon.gif​ ​

​ ​

​ ​
​ ​

​介绍​

​ ​
​ ​

​ ​

​ ​​本文描述了如何使用本地的通用​​ Internet ​​文件服务(​​CIFS​​)协议来访问基于​​Windows Media​​服务器的 ​​Data Domain ​​系统。​

​ ​

​ ​
​ ​

​症状​

​ ​
​ ​

​ ​

​·​​ ​​Data Domain ​​系统无法连接域控制器(​​Domain Controller​​)并且错误消息提示身份验证问题​

​ ​

​·​​ ​​在 ​​Data Domain ​​系统上无法连接或浏览共享(​​Share​​)​

​ ​

​·​​ ​​clients.log ​​里包含如下错误信息​

​ ​

​S_LOGON_FAILURE [1, pid=30657/10.11.2.26] smbd/sesssetup.c:reply_spnego_kerberos(322) Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE (ads_verify_ticket ret error: NT_STATUS_LOGON_FAILURE)! [2010/10/08 14:40:01.307257, 1, pid=30657/10.11.2.26] smbd/error.c:error_packet_set(159) error packet at smbd/sesssetup.c(327) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE​

​ ​

​ ​
​ ​

​更多信息​

​ ​
​ ​

​ ​

​1.​​ ​​/backup CIFS ​​共享不能含有星号(​​*​​),不能将​​ * ​​作为一个用户。如果用户含有​​*​​,那么映射的 ​​/backup ​​共享将不可用。因为​​Data Domain ​​会发送​​ * ​​作为用户值到​​ Active Directory ​​来进行身份验证。并且​​* ​​在​​ AD ​​中也不是一个有效的用户名称。星号仅可用于客户端。​

​ ​

​ ​

​2.​​ ​​如果你想通过工作组或​​ AD ​​访问​​ Data Domain ​​系统,最好指定域前缀或​​DDR ​​主机名。如果你可以通过 ​​IP ​​地址访问,但使用主机名或​​FQDN ​​却不行,这说明是​​DNS ​​的问题。在​​ DNS ​​服务器上做出必要的更改来保证正向和反向查找是正确的。如果不能更改​​DNS​​,那么在​​ DDR ​​和​​ Media​​服务器上添加一个本地主机条目可以解决这个问题。例如 ​​"net hosts add " ​

​ ​

​ ​

​3.​​ ​​如果你无法更改文件夹的权限或无法获取所有权,必须将 ​​CIFS ​​共享映射成​​ DataDomain ​​的​​ SYSADMIN ​​帐户,因为​​SYSADMIN ​​帐户拥有对所有文件夹的权限执行必要更改的管理员特权。​

​ ​

​ ​

​4.​​ ​​在​​ Windows ​​工作站,验证​​ Windows ​​是否保存了任何​​ Data Domain ​​系统的用户名或密码。如果已经保存了密码,​​Windows ​​密钥数据库可能已经损坏。这将导致​​Data Domain ​​系统每次都弹出身份验证,即便密码已经输入正确。​

​ ​

​ ​

​5.​​ ​​方法​​ A ​​和方法​​ B ​

​ ​

​a.​​ ​​进入开始菜单​

​ ​

​b.​​ ​​点击运行​

​ ​

​c.​​ ​​在运行窗口中,输入​​ control keymgr.dll​

​ ​

1.jpg

​ ​

​d.​​ ​​进入开始。​

​ ​

​e.​​ ​​设置​

​ ​

​f.​​ ​​控制面板​

​ ​

​g.​​ ​​双击用户​

​ ​

​h.​​ ​​选择高级选项卡。​

​ ​

​i.​​ ​​选择管理密码​

​ ​

2.jpg

​ ​

​j.​​ ​​选择​​ Data Domain ​​系统的主机名、​​IP ​​地址或​​ FQDN​​,然后单击删除。​

​ ​

3.jpg

​ ​

​ ​

​6.​​ ​​在 ​​Windows ​​机器上,打开一个命令行。​

​ ​

​a.​​ ​​开始​​->​​运行​​->cmd.​

​ ​

​b.​​ ​​验证​​USERDNSDOMAIN ​​和​​ USERDOMAIN​

​ ​

​# SET​

​ ​

​C:\Documents and Settings\XYZ>set​

​ ​

​ALLUSERSPROFILE=C:\Documents and Settings\All Users​

​ ​

​USERDNSDOMAIN=ABC.COM​

​ ​

​USERDOMAIN=CORP​

​ ​

​USERNAME=XYZ​

​ ​

​USERPROFILE=C:\Documents and Settings\XYZ​

​ ​

​VSEDEFLOGDIR=C:\Documents and Settings\All Users\Application​

​ ​

​注意:在​​Data Domain ​​系统上通过注册表项,可查看​​USERDOMAIN ​​名称和工作组是否匹配,这用于身份验证。​

​ ​

​c.​​ ​​验证​​ DNS ​​服务器与​​ Data Domain ​​系统的​​ DNS ​​是否相匹配​

​ ​

​#ipconfig /all​

​ ​

​ ​

​7.​​ ​​关于​​ Data Domain ​​系统上检查以下内容​

​ ​

​a.​​ ​​验证域控制器的​​ IP ​​地址​

​ ​

​#cifs show config​

​ ​

​b.​​ ​​验证​​Data Domain DNS​​,域控制器的​​ DNS ​​和​​ Media​​服务器的​​DNS ​​是否与​​ Data Domain ​​系统相匹配,或者能否成功地访问​​Data Domain ​​系统。​

​ ​

​#net show DNS​

​ ​

​ ​

​8.​​ ​​如果​​ Data Domain ​​系统的​​ DNS​​、 域控制器和​​ Media​​服务器的​​DNS ​​不匹配,必须在​​Data Domain ​​系统上执行以下内容。​

​ ​

​a.​​ ​​使用下面的命令验证​​ cifs ​​连接处于活动状态:​

​ ​

​#iostate 2​

​ ​

​b.​​ ​​将​​ CIFS ​​身份验证设置为工作组模式​

​ ​

​#cifs set authentication workgroup workgroup​

​ ​

​注意: 一旦​​ Data Domain ​​系统降级到工作组模式,进入域控制器查找​​Data Domain ​​系统的主机名并将其删除。​

​ ​

​c.​​ ​​将身份验证模式设置成​​ Active Directory.​

​ ​

​#cifs set authentication active-directory abc.com < Ip address of Primary Domain Controller> ​

​ ​

​Eg: cifs set authentication active-directory abc.com 192.168.3.4 10.1.1.10​

​ ​

​d.​​ ​​设置主和辅​​ DNS​

​ ​

​#net set dns Eg: #net set dns 192.168.3.1 10.1.1.1 ​

​ ​

​ ​

​9.​​ ​​从注册表项验证​​ Media​​服务器上的​​ USERDOMAIN ​​是否与​​ Data Domain​​系统工作组相匹配。​

​ ​

​#reg show config.windows​

​ ​

​sysadmin@dd160-1# reg show config.windows​

​ ​

​config.windows.allow-data-access = 0​

​ ​

​config.windows.external_krb5_conf =​

​ ​

​config.windows.external_ldap_conf =​

​ ​

​config.windows.global.authentication = workgroup​

​ ​

​config.windows.global.pw_server = *​

​ ​

​config.windows.global.raw.idmap-type = rid​

​ ​

​config.windows.global.raw.winbind_compat_mode = false​

​ ​

​config.windows.global.workgroup = workgroup​

​ ​

​config.windows.migration.f5 = done​

​ ​

​config.windows.migration.idmap = true​

​ ​

​config.windows.migration.lug = true​

​ ​

​config.windows.migration.maccount = true​

​ ​

​config.windows.migration.msid = true​

​ ​

​config.windows.pam_access = false​

​ ​

​config.windows.tls_cacerts = /ddr/var/cacerts/ca.cer​

​ ​

​注意: 如果​​ Data Domain ​​系统工作组与​​Media​​服务器的​​ USERDOMAIN ​​不匹配,身份验证将失败。必须设置以下注册表项。​

​ ​

​#reg set config.windows.global.workgroup= 的 ​​USERDOMAIN> ​

​ ​

​例如,​

​ ​

​#reg set config.windows.global.workgroup=XYZ​

​ ​

​ ​

​10.​​ ​​测试连接到通过​​ IP ​​地址、 主机名和​​FDQN /backup​​。​

​ ​

​ ​
​ ​

​应用于​

​ ​
​ ​

​ ​

​所有版本的​​Data Domain​​系统​

​ ​

​ ​

#IWork4Dell

请您将合适的回复标记为“接受的回答”,并为喜欢的帖子“点赞”。这对我们非常重要!

没有回复!
找不到事件!

Top