URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 2328
[ Назад ]

Исходное сообщение
"Ошибка в логах NT_STATUS_ACCESS_DENIED, медлленый логон."

Отправлено Deni74 , 07-Май-10 16:00 
Здравствуйте. Ubuntu 9.10 в роли PDC. BDC нет. Рабочие станции XP, пару Вист и 7-ok.
Samba 3.4.0.x последняя с офф. репов самбы.
Логи:
файлы IP-adr.log все пустые
Ошибки и сообщения в файлах log.NAME:

[2010/05/07 14:01:19,  1] smbd/service.c:676(make_connection_snum)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED

частенько но не всегда перед или после этой ошибки появляются следующие записи :

[2010/05/07 14:01:19,  0] smbd/nttrans.c:2076(call_nt_transact_ioctl)
  call_nt_transact_ioctl(0x9005c): Currently not implemented.

   или (ни как не найду зависимости):

[2010/05/07 14:04:38,  0] lib/util_sock.c:537(read_socket_with_timeout)
[2010/05/07 14:04:38,  0] lib/util_sock.c:1468(get_peer_addr_internal)
  getpeername failed. Error was Transport endpoint is not connected
  read_socket_with_timeout: client 0.0.0.0 read error = Connection reset by peer.
[2010/05/07 14:04:38,  1] smbd/service.c:1241(close_cnum)
  win229 (192.168.1.229) closed connection to service proiz3
[2010/05/07 14:14:08,  1] smbd/service.c:1241(close_cnum)
  win229 (192.168.1.229) closed connection to service netlogon
[2010/05/07 14:18:44,  1] smbd/service.c:676(make_connection_snum)

При этом никаких жалоб от юзеров. Все папки вроде как доступны. Юзеры копируют файлы, действуют ограничения по доступу и тд. Притом ошибки происходят в основном на одних и тех же компьютерах. На одном полностью переставил XP - помогло ошибки пропали. Без переустановки никакие мои выгибательства на клиенте не помогли. Каюсь - забыл протестить простое перезаведение в домен. Подобное есть и на XP и на одной висте и на одной 7-ке - версия ОС и прочее про заведение вист и 7-ки в домен отметаем. Искал что может быть в них общее. Вроде бы нашел. Все они были заведены в старый домен и живут перезаведением в новый (имя домена разные). Однако одна XP в эту категорию не вписывается - один домен последний у нее в памяти :)
Второе, я перешел с ASPlinux с 3.0хххх Самбой. Личные впечатления - вход в домен стал более медленным. В основном стояк на загрузке профиля пользователя. Профили локальные. перехожу к конфигу. Все ресурсы кроме одного (_ freedistr) у меня невидимые и подключаются сетевыми дисками с помощью lr.cmd которые у всех разные.

[global]
   wide links = yes
   unix extensions  = no
   smb ports = 139
   workgroup = lr
   netbios name = server
   os level = 255
   server string = lr
   wins support = yes
   dns proxy = no
   admin users=root, administrator
   name resolve order = lmhosts host wins bcast

   interfaces = 192.168.1.1/255.255.255.0 eth0
   bind interfaces only = yes

   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0

   security = user
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   pam password change = yes
   map to guest = bad user

   domain logons = yes
   logon path =
   logon drive = u:
   logon home = \\%N\%U\home
   browseable = no
   logon script = lr.cmd
   add user script = /usr/sbin/adduser --quiet --disabled-password --gecos "" %u
   add machine script  = /usr/sbin/useradd -g machines -c "%u machine account" -d /var/lib/samba -s /bin/false %u
   add group script = /usr/sbin/addgroup --force-badname %g

   load printers = no
   printing = cups
   disable spoolss = yes
   show add printer wizard = no
   socket options  = SO_RCVBUF=8192 SO_SNDBUF=8192
   socket options = TCP_NODELAY
   message command = /bin/sh -c '/usr/bin/linpopup "%f" "%m" %s; rm %s' &

   local master = yes
   domain master = yes
   preferred master = yes
   usershare max shares = 100

[homes]
   comment = Home Directories
   browseable = no
   read only = no
   create mask = 0777
   directory mask = 0777
    force create mode=0777
    force directory mode=0777
   valid users = %S

[netlogon]
   comment = Network Logon Service
   browseable = no
   path = /home/%u/netlogon
   guest ok = yes
   read only = yes

[printers]
   comment = All Printers
   browseable = no
   path = /var/spool/samba
   printable = yes
   guest ok = yes
   read only = yes
   create mask = 0700
[print$]
   comment = Printer Drivers
   path = /var/lib/samba/printers
   browseable = yes
   read only = yes
   guest ok = no

# 2 шары для примера
[Бухгалтерия]
    create mask=0777
    force create mode=0777
    force directory mode=0777
    browseable = no
    read only=yes
    delete readonly = yes
    path = /home/_buhgalt
        write list = @_buh,@_ekn,@_ss,fin
        valid users = @_buh,@_ekn,@_ss,fin
[_]
    create mask=0777
    force create mode=0777
    force directory mode=0777
    browseable = yes
    read only=yes
    delete readonly = no
    path = /home/_freedistr
        write list = @_ss
        valid users = @_domainusers

root@server:~# testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Processing section "[homes]"
Processing section "[netlogon]"
Processing section "[printers]"
Processing section "[print$]"
Processing section "[Бухгалтерия]"
-------- /// ---------------------
Processing section "[Директор-отдел_сбыта]"
Processing section "[_]"
Loaded services file OK.
WARNING: You have some share names that are longer than 12 characters.
These may not be accessible to some older clients.
(Eg. Windows9x, WindowsMe, and smbclient prior to Samba 3.0.)
Server role: ROLE_DOMAIN_PDC
и т.д.

файл log.nmbd:

[2010/05/07 15:49:32,  0] nmbd/nmbd.c:854(main)
  nmbd version 3.4.0 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009
[2010/05/07 15:49:32,  0] nmbd/nmbd_logonnames.c:160(add_logon_names)
  add_domain_logon_names:
  Attempting to become logon server for workgroup LR on subnet 192.168.1.1
[2010/05/07 15:49:32,  0] nmbd/nmbd_logonnames.c:160(add_logon_names)
  add_domain_logon_names:
  Attempting to become logon server for workgroup LR on subnet UNICAST_SUBNET
[2010/05/07 15:49:32,  0] nmbd/nmbd_become_dmb.c:337(become_domain_master_browser_wins)
  become_domain_master_browser_wins:
  Attempting to become domain master browser on workgroup LR, subnet UNICAST_SUBNET.
[2010/05/07 15:49:32,  0] nmbd/nmbd_become_dmb.c:351(become_domain_master_browser_wins)
  become_domain_master_browser_wins: querying WINS server from IP 192.168.1.1 for domain master browser name LR<1b> on workgroup LR
[2010/05/07 15:49:37,  0] nmbd/nmbd_logonnames.c:121(become_logon_server_success)
  become_logon_server_success: Samba is now a logon server for workgroup LR on subnet 192.168.1.1
[2010/05/07 15:49:38,  0] nmbd/nmbd_logonnames.c:121(become_logon_server_success)
  become_logon_server_success: Samba is now a logon server for workgroup LR on subnet UNICAST_SUBNET
[2010/05/07 15:49:38,  0] nmbd/nmbd_become_dmb.c:110(become_domain_master_stage2)
  *****
  Samba server SERVER is now a domain master browser for workgroup LR on subnet UNICAST_SUBNET
[2010/05/07 15:49:38,  0] nmbd/nmbd_become_dmb.c:292(become_domain_master_browser_bcast)
  become_domain_master_browser_bcast:
  Attempting to become domain master browser on workgroup LR on subnet 192.168.1.1
[2010/05/07 15:49:38,  0] nmbd/nmbd_become_dmb.c:305(become_domain_master_browser_bcast)
  become_domain_master_browser_bcast: querying subnet 192.168.1.1 for domain master browser on workgroup LR
[2010/05/07 15:49:46,  0] nmbd/nmbd_become_dmb.c:110(become_domain_master_stage2)
  Samba server SERVER is now a domain master browser for workgroup LR on subnet 192.168.1.1
[2010/05/07 15:49:54,  0] nmbd/nmbd_become_lmb.c:395(become_local_master_stage2)
  Samba name server SERVER is now a local master browser for workgroup LR on subnet 192.168.1.1

Если лог сделать 4 уровня, то пролетает ошибочка.. думаю не существенная, т.к. в конце хэппи енд:

[2010/05/07 15:41:54,  3] nmbd/nmbd_sendannounce.c:207(send_host_announcement)
  send_host_announcement: type 819a0b for host SERVER on subnet 192.168.1.1 for workgroup LR
[2010/05/07 15:41:54,  3] lib/charcnv.c:263(convert_string_internal)
  convert_string_internal: Conversion error: Illegal multibyte sequence()
[2010/05/07 15:41:54,  4] nmbd/nmbd_packets.c:1952(send_mailslot)
  send_mailslot: Sending to mailslot \MAILSLOT\BROWSE from SERVER<00> IP 192.168.1.1 to LR<1d> IP 192.168.1.255
[2010/05/07 15:41:54,  4] nmbd/nmbd_packets.c:95(debug_browse_data)
  debug_browse_data():
    0 char ..`...SERVER.... hex 01 00 60 ea 00 00 53 45 52 56 45 52 00 00 00 00
   10 char ..............U. hex 00 00 00 00 00 00 04 09 0b 9a 81 00 0f 01 55 aa
[2010/05/07 15:41:54,  4] nmbd/nmbd_workgroupdb.c:281(dump_workgroups)
  dump_workgroups()
   dump workgroup on subnet     192.168.1.1: netmask=  255.255.255.0:
      LR(1) current master browser = UNKNOWN
          SERVER 40819a0b (............ ..............)
[2010/05/07 15:41:54,  4] nmbd/nmbd_workgroupdb.c:281(dump_workgroups)
  dump_workgroups()
   dump workgroup on subnet  UNICAST_SUBNET: netmask=    192.168.1.1:
      LR(1) current master browser = UNKNOWN
          SERVER 40819a0b (............ ..............)

log.smbd : девственно чист

[2010/05/07 15:49:32,  0] smbd/server.c:1068(main)
  smbd version 3.4.0 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009


Ну и последнее. Стоит терминал сервер на win 2008. Как бы заведен в домен.. и ошибок про него в логах не нашел... но входит он в домен просто СССсууупппеееррр медленно. Вроде также на профилях, соответственно и терминальный юзеры также заходят. Все Lm авторизации 128-бит шифрование отключены  итд и тп..

Вот так...


Содержание

Сообщения в этом обсуждении
"Ошибка в логах NT_STATUS_ACCESS_DENIED, медлленый логон."
Отправлено sptim , 08-Май-10 14:53 
У меня домен не юзается, но держателем рабочей группы также является файл-принт-сервер на Debian.

>  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED

Эта ошибка возникала только с одним из клиентских компов, причем стабильно при выводе на печать (принтеры также расшарены через Samba). Причем эти ошибки шли пачками - с повтором через 10 секунд (вроде бы, уже точно не помню) и в это время у клиента подвисало приложение из которого печать шла. После изменения конфига с опцией юзать один порт 139 - вроде больше не видел. Кстати, если в сети нет машин с Win98\2к - встречал рекоммендации оставить наоборот только порт 445, там же говорилось, что ошибка продуцируется при одновременном юзании обоих портов одним клиентом (конфликт?), так ли это на самом деле - не знаю.

>  getpeername failed. Error was Transport endpoint is not connected
>  read_socket_with_timeout: client 0.0.0.0 read error = Connection reset by peer.

Эта ошибка время от времени возникает почти у всех клиентов - избавиться пока не удалось. Но вроде бы никто из клиентов на какие-либо сообщения об ошибках не жаловался. Эту же ошибку видел после рестарта самбы (были видимо попытки восстановить сетевые подключения на клиентах "по старым реквизитам").

p.s.
Смотрю нет никаких специальных настроек шары для баз 1С? И как, всё нормально работает?


"Ошибка в логах NT_STATUS_ACCESS_DENIED, медлленый логон."
Отправлено Deni74 , 08-Май-10 19:43 
>[оверквотинг удален]
>Эта ошибка возникала только с одним из клиентских компов, причем стабильно при
>выводе на печать (принтеры также расшарены через Samba). Причем эти ошибки
>шли пачками - с повтором через 10 секунд (вроде бы, уже
>точно не помню) и в это время у клиента подвисало приложение
>из которого печать шла. После изменения конфига с опцией юзать один
>порт 139 - вроде больше не видел. Кстати, если в сети
>нет машин с Win98\2к - встречал рекоммендации оставить наоборот только порт
>445, там же говорилось, что ошибка продуцируется при одновременном юзании обоих
>портов одним клиентом (конфликт?), так ли это на самом деле -
>не знаю.

хм.. читаю в сети обратное (про порт) .. но после праздников попробую обязательно! ниже xp ничего нет....

>
>>  getpeername failed. Error was Transport endpoint is not connected
>>  read_socket_with_timeout: client 0.0.0.0 read error = Connection reset by peer.
>
>Эта ошибка время от времени возникает почти у всех клиентов - избавиться
>пока не удалось. Но вроде бы никто из клиентов на какие-либо
>сообщения об ошибках не жаловался. Эту же ошибку видел после рестарта
>самбы (были видимо попытки восстановить сетевые подключения на клиентах "по старым
>реквизитам").

видимо что-то в этом духе, может просто из за таймаута ресурсы отключались и тд.. не знаю по поиску по этой проблеме находились десятки причин

>Смотрю нет никаких специальных настроек шары для баз 1С? И как, всё
>нормально работает?

нету никаких!
просто 2008 очень долго сам заходит в самбу ну и юзеры что хотят 1с юзать понятно, нет не то что 1с а просто под rdp долго заходят! стоит вывести из домена - просто залетают и сам сервак грузится в лёт! Кстати про залетает хмм.., как писал уже обычные компы стали дольше заходить с самбой 3.4 чем 3.0... но и.. аутентификация другая... может из за этого - кстати подскажите народ может я просто перебираю в требованиях и это нормально? читал в сети что для win 2k и 2k3 в терминале даже патчи есть для работы под самбой - нет под рукой все на работе... дам ссылки. Интересно .... надо было попробовать заход в самбу без поднятия служб терминала этого 2008-го. Все не

В общем в целом - все работает идеально, ни у кого нет никаких проблем с шарами с заходом в домен, печатью и тд, кроме того что мне показалось что заход стал подольше и кроме того что 2008 терминал в домен просто пробирается как черепах дохлый! И меня бесят эти логи! и хочу в них разобраться! все таки есть связь!

И вот еще что... при вводе в домен нового компа изредка (кстати? аналогии) бывает такая интересная ситуация.....
завожу в домен ввожу все данные получаю ошибку наподобее там то ли дмен не доступен то ли.. эх.. жалко не на работе, я забыл вчера об этом написать. Повторяю процедуру - всё ок, комп в домене! и самое интересное! после этого в локальных группах (ну в админы завожу) появляется юзер без имени.. ну просто его SID я из за этого подумал что проблема из -за старого домена, ну нету домена нету юзера соответсвенно с него - один SID остался... а потом был случай с новым компом. Может я перегибаю палку что врядли. У меня точно ляп, не знаю с чем... До того уже эти конфиги логи и прочее насмотрелся что уже снится эта ненавистная ошибка... может связано не с самбой а параллельно? с чем? подскажите.
Спасибо!

Всех с наступающим праздником!


"Ошибка в логах NT_STATUS_ACCESS_DENIED, медлленый логон."
Отправлено hexes , 18-Мрт-11 13:32 
>[оверквотинг удален]
>>шли пачками - с повтором через 10 секунд (вроде бы, уже
>>точно не помню) и в это время у клиента подвисало приложение
>>из которого печать шла. После изменения конфига с опцией юзать один
>>порт 139 - вроде больше не видел. Кстати, если в сети
>>нет машин с Win98\2к - встречал рекоммендации оставить наоборот только порт
>>445, там же говорилось, что ошибка продуцируется при одновременном юзании обоих
>>портов одним клиентом (конфликт?), так ли это на самом деле -
>>не знаю.
> хм.. читаю в сети обратное (про порт) .. но после праздников попробую
> обязательно! ниже xp ничего нет....

Подскажите, помогло с портом?
Такая же ошибка валится с одного из серваков. (w2003)


"Ошибка в логах NT_STATUS_ACCESS_DENIED, медлленый логон."
Отправлено Deni74 , 19-Мрт-11 06:43 
> Подскажите, помогло с портом?
> Такая же ошибка валится с одного из серваков. (w2003)

139 ставить да, можно поставить, но
на сколько я помню ошибка была из за моей невнимательности. У меня у юзеров разные батники при логине. Естественно я их копировал и по ошибке нескольким не заремаркировал не их шары, естественно доступа к которым у них не было. Отсюда и шло.

А вообще к ошибкам в логах самбы стал относится философски, ну если только конечно все работает. Уже не обращаю внимания. Тестировал ClearOS и Zentyal. Так вот у этих серверов логи самбы такие, что мой самоляпный конфиг просто супер-мупупер.


"Ошибка в логах NT_STATUS_ACCESS_DENIED, медлленый логон."
Отправлено priorovod , 01-Дек-11 09:44 
У меня такая ошибка возникает, несмотря на то что авторизация проходит успешно, и шара открывается. Выяснил следующее, на виндовом сервере, к которому относится ошибка, работает служба, которая по сети сливает бекап на самбу. Утилита smbstatus в момент появления ошибок показывает, что к самбе происходит логон под пользователем DOMEN\server$, который является членом группы DOMEN\компьютеры домена. Подозреваю что ошибка связана с тем что логин идет не от разрешенной учетки пользователя, а от учетки машины. Следовательно появление в логах подобных ошибок видимо связано с аналогичными ситуациями отсутствия прав.