2월에 우리 사무실의 일부 직원은 Windows 11 버전 22H2가 설치된 새 컴퓨터를 구입했습니다. 도메인(도메인 컨트롤러는 Ubuntu 18.04.6 LTS)에 가입한 후에는 누구도 이러한 새 시스템에 로그인할 수 없습니다.
해결책을 찾았습니다. AD 사용자 및 컴퓨터에서 "이 계정은 Kerberos DES 암호화만 사용합니다."를 선택합니다. 새 컴퓨터를 사용하는 사용자를 위해 이 옵션을 설정했습니다. 그러면 로그인할 수 있지만 비밀번호를 변경할 수는 없습니다. 저는 이 상황을 일시적인 해결책으로 생각하고 있지만 문제를 해결하기 위한 좋은 해결책을 찾고 있습니다.
이 문제가 발생하는 것은 Windows 11 22H2 업데이트에서 Microsoft가 2038 문제를 피하기 위해 일부 암호화 방법을 변경했지만 결과적으로 Windows 11 22H2가 Samba Ubuntu 서버와 호환되지 않기 때문에 발생한다는 것을 알았습니다.
많은 조사 끝에 Samba를 4.16으로 업데이트하는 것이 유일한 해결책이라는 것을 알았습니다. 3일 전에 , sudo apt-get update
, 를 실행하는 것만으로 해냈 sudo apt-get upgrade
습니다 sudo reboot
. 나중에 Windows 10 컴퓨터에서 공유 서버 폴더에 계속 액세스할 수 있는지 확인해 보았는데, 그랬습니다. 하지만 서버에서 samba --version을 실행하면 버전 4.7.6이 표시됩니다. 이유는 모르겠습니다. (ADUC를 보면 도메인 컨트롤러의 운영체제가 Samba 4.10.16(이전과 동일)인 것을 알 수 있습니다.)
이제 Windows 11 22H2 및 DES Kerberos를 켠 3명을 제외하고 사무실의 모든 직원(나도)은 공유 폴더에 액세스할 수 없습니다. 또한 AD 사용자 및 컴퓨터를 시작하면 다음 오류가 발생합니다.다음 이유로 인해 명명 정보를 찾을 수 없습니다. 시스템이 인증 요청을 해결하기 위해 도메인 컨트롤러에 연결할 수 없습니다. 나중에 다시 시도하세요. 도메인이 올바르게 구성되어 있고 현재 온라인 상태인지 확인하려면 시스템 관리자에게 문의하세요.확인을 클릭한 다음 도메인 컨트롤러를 변경하고 서버의 IP 주소를 입력하면 모든 도메인 데이터를 볼 수 있지만 사용자 설정을 변경하려고 하면 오류가 발생합니다.도메인이 존재하지 않거나 접속할 수 없습니다.그리고Windows 2000 이전 시스템에서는 사용자에게 도메인 이름을 표시할 수 없습니다.확인을 클릭하면 모든 사용자 설정을 볼 수 있습니다. 이를 변경할 수 있으며 프로그램을 다시 연 후에도 변경 사항이 계속 표시되지만 유효한지 확실하지 않습니다(예: 새 사용자를 생성한 다음 로그인). - 작동하지 않습니다. )
Putty를 통해 서버에 접속할 수 있습니다.
도와주세요! 어떻게 해야 합니까? 해결책이 있나요? 삼바 업데이트에 문제가 있나요?
! ! ! 고쳐 쓰다! ! !
위의 문제를 해결했습니다. 어떻게 되었는지는 모르겠지만...갑자기 작동하기 시작했습니다. 그러나 주요 문제는 Windows 11 22H2와 Samba의 비호환성입니다.
내 ADUC는 여전히 도메인 컨트롤러 OS를 Samba 4.10.16으로 표시하고 samba --version
우분투 서버에서는 "버전 4.7.6-Ubuntu"를 반환합니다. 왜 차이가 있는지 모르겠습니다. 더 중요한 것은 다음과 같습니다.
Samba 4.16 버전이 없는 이유는 무엇이며 4.16 버전으로 업그레이드하는 방법은 무엇입니까?
답변1
오류 설명 업데이트된 Windows 11 22H2 시스템은 영향을 받는 Samba AD DC 서버에서 Kerberos 티켓을 얻을 수 없습니다. 이는 해당 Windows 시스템을 Samba Active Directory 서버에 가입시키는 것과 가입된 Windows 11 22H2 시스템을 계속 사용하는 데에도 영향을 미칩니다. 수정 사항은 Samba에 포함된 Heimdal Kerberos 코드에 있습니다. [테스트 계획] 이 테스트에는 테스트 중인 영향을 받는 Ubuntu 버전의 Samba AD DC 설치에 최신 Windows 11 22H2 시스템을 연결하는 작업이 포함됩니다. 마찬가지로, 다른 Windows 시스템(예: Windows 10)을 동일한 Samba 도메인에 가입시켜 수정 사항에 관계없이 계속 작동하도록 하세요. 이 테스트의 모든 인스턴스에는 Samba AD DC가 필요합니다. 테스트 중인 Ubuntu 버전, 가상 머신 또는 베어 메탈(lxc/lxd 아님)에 Samba AD DC 서버를 설치합니다.
여기에서 전체 설명을 확인하세요.
Windows 11 22H2 및 Samba-AD 로그인 문제
루트 사용자가 되십시오:
apt update
apt install -y samba winbind smbclient
systemctl stop smbd nmbd winbind
systemctl disable smbd nmbd winbind
systemctl mask smbd nmbd winbind
systemctl unmask samba-ad-dc
systemctl enable samba-ad-dc
mv /etc/samba/smb.conf{,orig}
samba-tool domain provision \
--domain=EXAMPLE --realm=EXAMPLE.SAMBA --adminpass=Passw0rd \
--server-role=dc --use-rfc2307 --dns-backend=SAMBA_INTERNAL
dns=$(resolvectl status | grep -E "^[[:blank:]]*Current DNS Server:" | awk '{print $4}')
[ -n "$dns" ] && \
sed -r -i "s,dns forwarder = .*,dns forwarder = ${dns}," \
/etc/samba/smb.conf
unlink /etc/resolv.conf
echo "nameserver 127.0.0.1" > /etc/resolv.conf
echo "search example.samba" >> /etc/resolv.conf
systemctl stop systemd-resolved
systemctl disable systemd-resolved
mv /var/lib/samba/private/krb5.conf /etc/
systemctl start samba-ad-dc
# relax the password settings to make it easier to test
samba-tool domain passwordsettings set --min-pwd-age=0 --complexity=off
# Create a samba user in the domain:
samba-tool user create ubuntu
# install krb5-user, to test with kinit. There should be no debconf prompts, since we have an /etc/krb5.conf already populated
apt install krb5-user -y