我的Ubuntu 15.04服务器上有一些间歇性的身份validation问题。 我在这里直接询问了这个问题: Kerberosencryptiontypes错误
我的Windows数据中心现在是混合版本(我们正在努力消除较旧的数据中心并升级到最新版本。)如何validation每个Ubuntu数据中心的身份validation到哪个DC? 它只是使用DNS来find一个DC。 每个盒子总是使用相同的DC,只要它可用,还是会使用某种循环法? 由于问题是间歇性的,我很想知道它是否只与某些DC有关。
默认情况下,您的系统将执行循环查找,包括Kerberos。 如果你想用特定的域控制器解决这个问题,我build议为yourdomain.com添加一个HOSTS文件条目,并将其指向一个特定的控制器。 这比更新整个Kerberosconfiguration更安全。
编辑:
为了回应Andy的回答,编辑sssd.conf将会工作, 如果有问题的系统使用sssd,问题在于sssd 。 危险的是其他应用程序也可能使用域名进行绑定。 结果你可能会得到不一致的结果。 这正是我为什么build议hosts文件的方法。 它影响整个服务器,而不仅仅是一个服务。 我发现这在有多个pipe理员的环境中很有用,尤其是当/etc不受版本控制时。
应该可以使用sssd.conf中的“ad_server”选项指定一个dc:
ad_server = dctotest.example.org
除了其他人所说的之外,krb5_child.log显示了非常详细的信息(在libkrb5给出的范围内):
{(Sun Nov 1 21:08:05 2015)[[sssd [ldap_child [22284]]]] [sss_child_krb5_trace_cb](0x4000):1446412085.69409:发送请求(274字节)到WIN.TRUST.TEST
(Sun Nov 1 21:08:05 2015)[[sssd [ldap_child [22284]]]] [sss_child_krb5_trace_cb](0x4000):1446412085.69457:发送初始UDP请求到dgram 192.168.122.90:88
(Sun Nov 1 21:08:05 2015)[[sssd [ldap_child [22284]]]] [sss_child_krb5_trace_cb](0x4000):1446412085.70323:从dgram接收的答案(100字节)192.168.122.90:88
(Sun Nov 1 21:08:05 2015)[[sssd [ldap_child [22284]]]] [sss_child_krb5_trace_cb](0x4000):1446412085.70394:响应来自主KDC
enter code h(Sun Nov 1 21:08:05 2015) [[sssd[ldap_child[22284]]]] [sss_child_krb5_trace_cb] (0x4000): [22284] 1446412085.69409: Sending request (274 bytes) to WIN.TRUST.TEST
(Sun Nov 1 21:08:05 2015)[[sssd [ldap_child [22284]]]] [sss_child_krb5_trace_cb](0x4000):1446412085.69457:发送初始UDP请求到dgram 192.168.122.90:88
(Sun Nov 1 21:08:05 2015)[[sssd [ldap_child [22284]]]] [sss_child_krb5_trace_cb](0x4000):1446412085.70323:从dgram接收的答案(100字节)192.168.122.90:88
(Sun Nov 1 21:08:05 2015)[[sssd [ldap_child [22284]]]] [sss_child_krb5_trace_cb](0x4000):1446412085.70394:响应来自主KDC