Samba 3.6.25「このワークステーションとプライマリドメイン間の信頼関係に失敗しました」エラーを修正するにはどうすればよいですか？

Question

今日、私はプライマリ（そして唯一の）ドメインコントローラーでもあるUbuntuサーバーを、いくつかのセキュリティの脆弱性を修正した最新のSambaパッケージに更新しました。以下のパッケージが更新されました：

libpam-winbind：AMD64（3.6.3-2ubuntu2.17、3.6.25-0ubuntu0.12.04.2）
smbclient：AMD64（3.6.3-2ubuntu2.17、3.6.25-0ubuntu0.12.04.2）
libwbclient0：AMD64（3.6.3-2ubuntu2.17、3.6.25-0ubuntu0.12.04.2）
libpam-smbpass：AMD64（3.6.3-2ubuntu2.17、3.6.25-0ubuntu0.12.04.2）
samba-common：AMD64（3.6.3-2ubuntu2.17、3.6.25-0ubuntu0.12.04.2）
samba：AMD64（3.6.3-2ubuntu2.17、3.6.25-0ubuntu0.12.04.2）
winbind：AMD64（3.6.3-2ubuntu2.17、3.6.25-0ubuntu0.12.04.2）
samba-common-bin：AMD64（3.6.3-2ubuntu2.17、3.6.25-0ubuntu0.12.04.2）

（/var/log/apt/history.logから）

アップデート後、Windows 7または8.1 PCを再起動した全員がドメインにログインできなくなりました。表示されるエラーメッセージは、「このワークステーションとプライマリドメイン間の信頼関係に失敗しました」です。

私が最初に試みたのは、影響を受けるコンピューターをドメインから削除して、再度追加することでした。これはこの種の問題を解決するために使用されましたが、今回は解決されませんでした。このプロセス中にエラーは発生しませんでしたが、どちらも役に立ちませんでした。ドメインアカウントでのログインは引き続き失敗します。

ローカルアカウントでログインし、共有にアクセスすると正常に機能します。

次のエラーが/ var/log/samba/logに繰り返し書き込まれます。

[2016/04/19 11：49：09.975677、0] rpc_server/netlogon/srv_netlog_nt.c：976（_netr_ServerAuthenticate3）_netr_ServerAuthenticate3：netlogon_creds_server_checkが失敗しました。クライアントマシンアカウント$からの認証リクエストの拒否

これまでのところ、グーグルとBinging（Bingを使用）では、2つのヒットしか見つかりませんでした。

影響を受けるワークステーションの数はおそらく急速に増えるので、私は緊急に解決策が必要です。

ヒントはありますか？

編集：

私は一人じゃない： https://askubuntu.com/questions/759123/samba-23-6-25-0ubuntu0-12-04-2-as-pdc-samba3-nt4-domain-windows- machine-lost

しかし、今のところ、そこにも答えはありません。

dummzeuch · Accepted Answer

Ubuntuは次のアップデートでこの問題を修正したようです：

http://www.ubuntu.com/usn/usn-2950-3/

2016-05-04にリリースされました。

USN-2950-1はSambaの脆弱性を修正しました。 Samba 4.3.8で導入された修正により、特定のリグレッションと相互運用性の問題が発生しました。

このアップデートでは、Ubuntu 14.04 LTS、Ubuntu 15.10、Ubuntu 16.04 LTSのSamba 4.3.9にアップデートすることで、これらの問題の一部を解決しています。 Ubuntu 12.04 LTSのSamba 3.6.25に、バックポートされた回帰修正が追加されました。 "

私は今日それをインストールしました、そして問題は消えました。

dummzeuch · Answer

これまでの一時的な回避策として役立つのは、古いパッケージを再度インストールすることでした。私が選んだ方法は https://launchpad.net/ubuntu/+source/samba/2:3.6.3-2ubuntu2 から適切なリンクからファイルをダウンロードし、それを使用してインストールすることでした

dpkg -i libpam-smbpass_3.6.3-2ubuntu2.17_AMD64.deb libpam-winbind_3.6.3-2ubuntu2.17_AMD64.deb libwbclient0_3.6.3-2ubuntu2.17_AMD64.deb samba-common_3.6.3-2ubuntu2.17_all.deb samba_3.6.3-2ubuntu2.17_AMD64.deb winbind_3.6.3-2ubuntu2.17_AMD64.deb samba-common-bin_3.6.3-2ubuntu2.17_AMD64.deb

これにより以前の状態が復元され、すべてのワークステーションがユーザーを再度認証できるようになります。

私が言ったように：これは一時的な回避策です。更新プログラムはセキュリティ更新プログラムだったので、更新プログラムで機能するソリューションがまだ必要です。

0x80 · Answer

これは、最新のSambaアップデート（Badlockの脆弱性も修正したもの）で導入された回帰です。

一時的な解決策（ダウングレード以外）は、

server signing = auto

smb.conf内（後でsambaサービスを再起動することを忘れないでください）。残念ながら、これは私にとって既存のユーザーのログインのみを修正しました。これまでにドメインにログインしたことがない新しいユーザーには役に立ちませんでした（私がそれを正しく覚えている場合、これらの「利用可能なログオンサーバーはありません...」というメッセージが表示されました）。

RedHatで働いている1人のSamba男彼らには有効な修正があると言いますその問題について。 RedHatはすぐにその修正をリリースし、他のディストリビューションにも配布されると思います。

stack_horst · Answer

おそらく関連していて、そこに私の答えが表示されます：更新後のSamba共有ユーザー/パスワードエラー

これが本当に解決策である場合は、この回答を更新します。

dummzeuch · Answer

私が redhat から得た別の回避策があります：

Win 7またはWin 10を使用している場合は、ネットワークケーブルを取り外して（またはWiFiを無効にして）、ログインします。これは、ローカルログイン（ネットワークログインではない）に似ています。ログインしたら、ネットワークケーブルを接続し直して、通常どおりリソースを使用できます。また、システムがスリープ状態になるたびに再度ログインする必要がないように、パスワードを要求してスリープモードをオフにします。

私は試していませんが、うまくいくかもしれません。（おそらくWindows 8（.1）でも動作します。）