昨天一上班,用户就发RTX和电话说文件服务器无法访问,我的乖乖,如果这个东东无法访问,公司一些重要部门可能就要投诉了,赶紧处理,下面是处理的过程记录,写这篇blog纯粹是给自己留个备忘,下次再出现这种情况就不必大惊小怪的。
1、 情况
NAS 服务器是fas 2020,比较低端(ENTERLEVEL级)的存储,不过用作file srv还是不错的。NAS已入域,用AD来做认证。
用户的发给我的截图(用户水平也越来越高了,呵呵!)
2、 故障现象原因
我登录DC srv,用UNC方式登录也提示无法登录,看来是域用户都无法访问了。
能登录netapp的web admin,说明NAS的网络服务没问题,下图说明NAS的磁盘等硬件也没问题。
看NAS log
CIFS: Warning for server \\DC1: Connection terminated.
Mon Dec 26 09:46:15 CST [NASB: cifs.server.errorMsg:error]: CIFS: Error for server \\DC1: CIFS Session Setup Error No Trusted Logon Servers Available - STATUS_NO_LOGON_SERVERS.
AUTH: Unable to connect to any Domain Controller for the DC1 domain. Use 'cifs domaininfo' for a listing of DCs tried.
看来是netapp与AD之间认证对用户认证出了问题,就是用户访问NAS,NAS将用户的令牌凭据发到AD,AD再将认证后的令牌传给NAS,NAS根据SID等信息来确认用户和访问权限信息等。
查看DC的log,登录/注销的log被覆盖了,无法在这里显示
事件类型: 错误
事件来源: KDC
事件种类: 无
事件 ID: 7
日期: 2011-12-26
事件: 9:30:12
用户: N/A
计算机: DC1
描述:
安全帐户管理器意外地未能成功执行一个 KDC 请求。 错误在数据字符域中。帐户名是 NASB$@DC1.LOCAL,查找类型是 0x20。
开始以为是AD的问题,但是看log,AD的所有用户登录都正常,AD policy都没问题,到sangfor的AC 认证上网都没问题,说明AD的服务也没问题。
于是再看NAS日志
AUTH: Unable to acquire filer credentials: (0x96c73a25) Filer and domain time differ by more than 5 minutes
时间不同步,打电话到代理商工程师确认时间不同步可能会一起这个问题,于是试一试。开始在时间不同步的问题上思考了一会儿,很低级的问题:就是以DC为准还是以NAS为准,还是以中国授时中心为准,后来喝口水忽然大悟,这么简单的问题还有思考,汗!!
3、 解决
查看NAS与DC的时间相差7分钟左右,于是以DC1时间为准,手动设置time
截取部分图
commit后refresh,也可在NAS的命令行用date命令一样,我图简便用图形界面。
查看与AD认证
CIFS Test Domain Controller
CIFSTest Domain Controller
--------------------------------------------------------------------------------
Using Established configuration
Current Mode of NBT is B Mode
Netbios scope ""
Registered names...
NAS < 0> Broadcast
NAS < 3> Broadcast
NAS <20> Broadcast
DC1 < 0> Broadcast
Testing all Primary Domain Controllers
found 2 unique addresses
found PDC DC1 at 10.10.10.10
found PDC DC2 at 10.10.10.11
Testing all Domain Controllers
found 2 unique addresses
found DC DC1 at 10.10.10.10
found DC DC2 at 10.10.10.11
由于生产环境,有些信息改了,再次登录NAS文件服务器正常。
本文转自fuhaixiong 51CTO博客,原文链接:http://blog.51cto.com/heliy/385391,如需转载请自行联系原作者
