[samba-jp:21858] Re: SambaとAD間の連携が取れなくなる事象について

[yuta ito]

伊藤です。

自己レスとなりますが、解決に向けて目途がたったので周知致します。

解析の結果、どうやらAD側で複数ドメインを持っている状態で
他のドメインが不具合を起こすと
正常なドメインについてもエラーと認識して切り離してしまうようでした。
（結局、Sambaのバグなのか仕様なのかは分かりませんでしたが。）

smb.confの設定でwinbindの特定のドメインに関しては、
statusを無視する設定を追加することで対応することにしました。

的外れであればご指摘いただきたいですが、
そうでなければ本件クローズとさせてください。

また、先日送信したメールの改行が適切に行われていない可能性がありました。
人によっては非常に読みにくい状態であったかと思います。
メール汚し失礼致しました。

以上です。

> From: sincere607 ＠ hotmail.co.jp
> To: samba-jp ＠ samba.gr.jp
> Date: Sun, 9 Dec 2012 21:13:02 +0900
> Subject: [samba-jp:21855] SambaとAD間の連携が取れなくなる事象について
> 
> 
> 
> 
> 
> 皆様 お世話になっております。
> 伊藤と申します。 
> 
> Samba3.5.6で、SambaとADの連携を行っています。 
> CentOS5.5 数台で同じ設定をしてADの情報を取得していますが、
> 数時間または数日に一台くらいのペースでエクスプローラでログインができなくなる事象が起こります。
> タイミングや繋がらなくなるサーバはまちまちです。 
> 
> この際、Linuxのidコマンドでユーザを確認しようとすると、No such userと表示されてしまいます。
> ただ、このときwbinfo -uでは正常に表示されます。 winbind の再起動やwbinfo -a で一度参照すると（このとき認証は成功します。）
> 再度idコマンドで取得できるようになりますが、時間が経つと再発します。 
> 
> ユーザを取得できなくなったタイミングで/var/log/samba/log.wb-<ドメイン名>に下記のメッセージが出力されていることから、ADから切り離されたものと思いますが、原因が分からず困惑しています。
> ---------------------------------------------
> rpc_client/cli_pipe.c:1046(cli_pipe_validate_current_pdu)
> cli_pipe_validate_current_pdu: RPC fault code
> DCERPC_FAULT_ACCESS_DENIED received from host <LDAP Server名>
> --------------------------------------------- 
> 
> 起きる原因や防止方法について何か思い当たる情報をご存知の方がいましたらご教示頂けないでしょうか？ 以上、よろしくお願いします。