решено: Через некоторое время пропадает доступ к серверу Samba (сервер samba - член AD Win2k3) (при попытке доступа к серверу - вываливается окно ввода логина/пароля)

[McSim]

Доброго времени, камрады.
Долгое время бьюсь над проблемой с SAMBA, очень буду признателен за помощь!

Проблема:
Через некоторое время работы с файлами на файловом сервере или сетевой печати неожиданно пропадает доступ к этому серверу. При попытке через проводник зайти на сервер - вываливается окно ввода логина/пароля, при вводе корректного логина/пароля - опять то же окно. Данная проблема проявляется у некоторых доменных пользователей, работающих за определенными компьютерами. Другие пользователи - работают "сутками" бесперебойно. Например, на одном компьютере работают 2е смены. При этом у одного пользователя проблема возникает, у второго - нет. Соответственно, отваливается сетевая печать и доступ к файлам. После перезагрузки или просто выхода/входа пользователя в комп - доступ восстанавливается.

Конфигурация:
Самба авторизуется в домене через winbind. Клиенты - в большинстве WinXP. Дистриб и версия самба:

Код: Выделить всё

files ~ # cat /etc/debian_version
6.0.2
files ~ # uname -a
Linux files 2.6.32-5-686 #1 SMP Mon Jun 13 04:13:06 UTC 2011 i686 GNU/Linux
files ~ # dpkg -l | grep samba
ii  samba                              2:3.5.6~dfsg-3squeeze4       SMB/CIFS file, print, and login server for Unix
ii  samba-common                       2:3.5.6~dfsg-3squeeze4       common files used by both the Samba server and client
ii  samba-common-bin                   2:3.5.6~dfsg-3squeeze4       common files used by both the Samba server and client
files ~ # dpkg -l | grep winbi
ii  libwbclient0                       2:3.5.6~dfsg-3squeeze4       Samba winbind client library
ii  winbind                            2:3.5.6~dfsg-3squeeze4       Samba nameservice integration server

конфиг самба и сети:

Код: Выделить всё

files ~ # testparm -s
Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Processing section "[printers]"
Processing section "[print$]"
Processing section "[homes]"
Processing section "[backup$]"
Processing section "[install$]"
......
Loaded services file OK.
WARNING: You have some share names that are longer than 12 characters.
These may not be accessible to some older clients.
(Eg. Windows9x, WindowsMe, and smbclient prior to Samba 3.0.)
Server role: ROLE_DOMAIN_MEMBER
[global]
        workgroup = SAG
        realm = SAG.LOCAL
        server string = Файловый сервер
        security = ADS
        auth methods = winbind
        obey pam restrictions = Yes
        password server = dc.sag.local dc2.sag.local
        username map = /etc/samba/userssmb
        log file = /var/log/samba/log.%m
        smb ports = 139
        lpq cache time = 5
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        usershare path =
        panic action = /usr/share/samba/panic-action %d
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        template homedir = /backup/SAG/%U
        winbind separator = ^
        winbind cache time = 600
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        winbind refresh tickets = Yes
        winbind offline logon = Yes
        cups options = raw
        veto files = /autorun.inf/AUTORUN.INF/.*/Thumbs.db/
        hide files = /$RECYCLE.BIN/desktop.ini/lost+found/Thumbs.db/

[printers]
        comment = Очередь печати SMB
        path = /var/spool/samba
        printable = Yes
        browseable = No

[print$]
        comment = Драйверы принтера
        path = /var/lib/samba/printers

[homes]
        comment = Личная папка пользователя %U
        read only = No
        browseable = No

[backup$]
        comment = Инсталяхи
        path = /shares/backup
        read only = No

[install$]
        comment = Инсталяхи
        path = /shares/install
        read only = No
        veto files =
files ~ # cat /etc/nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat winbind
group:          compat winbind
shadow:         compat winbind

hosts:          files dns wins
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis
files ~ # cat /etc/resolv.conf
domain SAG.local
search SAG.local
nameserver 10.0.0.1
nameserver 10.0.0.4
files ~ # ifconfig eth4
eth4      Link encap:Ethernet  HWaddr 00:04:23:a6:19:c8
          inet addr:10.0.0.11  Bcast:10.0.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:293175177 errors:0 dropped:0 overruns:0 frame:0
          TX packets:205770240 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:320660917 (305.8 MiB)  TX bytes:677293276 (645.9 MiB)
files ~ # cat /etc/hosts
127.0.0.1       localhost
127.0.1.1       files.SAG.local files

логи:
при этом, у проблемных пользователей немеренное количество сообщений в логе:

Код: Выделить всё

[2011/09/08 12:54:41.805370,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:54:41.893536,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:54:41.971962,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:54:44.359565,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:54:44.380002,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:54:46.856189,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:55:00.521547,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:55:00.919470,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:55:11.823690,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:55:11.908905,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:55:12.008055,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!

Все команды wbinfo -u, wbinfo -g, getent passwd имя_юзера, net ads info отрабатывают без каких-либо проблем. Время синхронизируется кроном каждый час командой net time set, так что вариант с расхождением времени неуместен.
В момент, когда отвеливается сервер - включил smbcontrol smbd debug 3. При этом в лог попадает следующее:
> вложение

log.scan2_login.log

(167.79 КБ) 30 скачиваний

так же собрал лог в debug 3 при выходе проблемного пользователя из системы и входе:
> вложение

log.scan2.log

(36.78 КБ) 21 скачивание

В указанных логах очень смущают строки:

Код: Выделить всё

[2011/09/08 15:33:26.776661,  3] smbd/sesssetup.c:1232(reply_sesssetup_and_X_spnego)
  NativeOS=[Windows 2002 Service Pack 3 2600] NativeLanMan=[Windows 2002 5.1] PrimaryDomain=[]

как бы PrimaryDomain=[] теряется имя домена, а так же

Код: Выделить всё

[2011/09/08 15:33:26.773385,  3] smbd/negprot.c:586(reply_negprot)
  Requested protocol [PC NETWORK PROGRAM 1.0]
[2011/09/08 15:33:26.773514,  3] smbd/negprot.c:586(reply_negprot)
  Requested protocol [LANMAN1.0]
[2011/09/08 15:33:26.773583,  3] smbd/negprot.c:586(reply_negprot)
  Requested protocol [Windows for Workgroups 3.1a]
[2011/09/08 15:33:26.773698,  3] smbd/negprot.c:586(reply_negprot)
  Requested protocol [LM1.2X002]
[2011/09/08 15:33:26.773792,  3] smbd/negprot.c:586(reply_negprot)
  Requested protocol [LANMAN2.1]
[2011/09/08 15:33:26.773891,  3] smbd/negprot.c:586(reply_negprot)
  Requested protocol [NT LM 0.12]
[2011/09/08 15:33:26.774805,  3] smbd/negprot.c:404(reply_nt1)
  using SPNEGO
[2011/09/08 15:33:26.774949,  3] smbd/negprot.c:691(reply_negprot)
  Selected protocol NT LM 0.12
[2011/09/08 15:33:26.776019,  3] smbd/process.c:1485(process_smb)
  Transaction 1 of length 1352 (0 toread)

SAMBA почему-то перебирает протоколы доступа к шАрам....
Но почему это происходит - непонятно.

Помогите, пожалуйста разобраться в проблеме! Где, что я упустил?
Заранее спасибо!

[Serega86]

Может проблема не в самбе, а самой ОС.

у любой оси есть ограничение на количество соединений
man xinetd.conf
cps
Ограничивает скорость обработки входящих соединений. Параметр имеет два аргумента. Первый аргумент - число обрабатываемых входяших соединений в секунду. Если число соединений превышает указанное значение, то сервис становится временно недоступным. Второй аргумент - временной интервал в секундах, который необходимо выдержать перед воостановлением доступности сервиса.

[McSim]

Может проблема не в самбе, а самой ОС.

у любой оси есть ограничение на количество соединений
man xinetd.conf
cps
Ограничивает скорость обработки входящих соединений. Параметр имеет два аргумента. Первый аргумент - число обрабатываемых входяших соединений в секунду. Если число соединений превышает указанное значение, то сервис становится временно недоступным. Второй аргумент - временной интервал в секундах, который необходимо выдержать перед воостановлением доступности сервиса.

Спасибо за ответ, Serega86, но самба у меня работает как standalone, супердемоны xinetd или inetd не установлены.
Какие еще могут быть ограничения?
Ядро стоковое из репозитория (не самосбор).
К тому же, пользователи работают с одинаковыми задачами и у одних пользователей есть проблема - у других - нет. И есть пользователь, который раз за весь день откроет 2-3 документа OpenOffice и у него есть такая проблема, а есть пользователи, которые печатают тонны документов. У них нагрузка на сервер значительно больше и при этом тоже проблема имеет место...
Поэтому, думаю, что на ограничения ОС ссылаться будет неуместно

Есть еще какие-нибудь догадки?

[McSim]

Вот еще что заметил. Если возникает проблема с доступом к серверу, то по IP к серверу пользователь подключается без проблем.
например так \\10.0.0.11\
При этом, имя сервера резолвится корректно.

[McSim]

Доброго времени, камрады.
Долгое время бьюсь над проблемой с SAMBA, очень буду признателен за помощь!

Проблема:
Через некоторое время работы с файлами на файловом сервере или сетевой печати неожиданно пропадает доступ к этому серверу. При попытке через проводник зайти на сервер - вываливается окно ввода логина/пароля, при вводе корректного логина/пароля - опять то же окно. Данная проблема проявляется у некоторых доменных пользователей, работающих за определенными компьютерами. Другие пользователи - работают "сутками" бесперебойно. Например, на одном компьютере работают 2е смены. При этом у одного пользователя проблема возникает, у второго - нет. Соответственно, отваливается сетевая печать и доступ к файлам. После перезагрузки или просто выхода/входа пользователя в комп - доступ восстанавливается.
.....
логи:
при этом, у проблемных пользователей немеренное количество сообщений в логе:

Код: Выделить всё

[2011/09/08 12:54:41.805370,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:54:41.893536,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:54:41.971962,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:54:44.359565,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:54:44.380002,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:54:46.856189,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:55:00.521547,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:55:00.919470,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:55:11.823690,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:55:11.908905,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2011/09/08 12:55:12.008055,  1] smbd/sesssetup.c:332(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!

.....

Кто бы мог подумать... Вся проблема была из-за CNAME записей в DNS для сервера
И пользователи пытались получить доступ к ресурсам по имени CNAME. В результате - ошибка. кратко описано тут:

[staaaaaaas]

ссылка на описание решения не работает(

[McSim]

ссылка на описание решения не работает(

Давно не заходил на форум.
Проблема была в том, что пользователи обращались к серверу по CNAME имени.
Когда поменял на А-запись в DNS - все исправилось.

[Vascom]

Молодец, что отписался о решении.