Windows 11(22H2)およびUbuntu Server(Samba)の問題

Windows 11(22H2)およびUbuntu Server(Samba)の問題

2月、私たちのオフィスの一部のスタッフは、Windows 11バージョン22H2がインストールされている新しいコンピュータを購入しました。ドメイン(ドメインコントローラはUbuntu 18.04.6 LTS)に参加した後、誰もこれらの新しいシステムにログインできません。

解決策が見つかりました。 ADユーザーとコンピュータで、「このアカウントはKerberos DES暗号化のみを使用します」を選択します。新しいコンピュータを使用しているユーザーにこのオプションを設定しました。これでログインできますが、パスワードを変更することはできません。私はこの状況を一時的な解決策として考えていますが、問題を解決するための良い解決策を探しています。

この問題は、Windows 11 22H2アップデートでMicrosoftが2038問題を回避するためにいくつかの暗号化方法を変更しましたが、その結果、Windows 11 22H2がSamba Ubuntuサーバーと互換性がないために発生することがわかりました.

多くの調査の後、Sambaを4.16にアップデートすることが唯一の解決策であることがわかりました。 3日前に、、sudo apt-get updateを実行するだけでやりsudo apt-get upgradeましたsudo reboot。後でWindows 10コンピュータで共有サーバーフォルダにアクセスできることを確認してみましたが、そうでした。ただし、サーバーでsamba --versionを実行すると、バージョン4.7.6が表示されます。理由はわかりません。 (ADUCを見ると、ドメインコントローラのオペレーティングシステムがSamba 4.10.16(以前と同じ)であることがわかります。)

Windows 11 22H2とDES Kerberosの電源を入れた3人を除いて、オフィスのすべての従業員(私も)は共有フォルダにアクセスできません。また、AD ユーザーとコンピュータを起動すると、次のエラーが発生します。次の理由で命名情報が見つかりません。システムは認証要求を解決するためにドメイン コントローラに接続できません。後でもう一度お試しください。ドメインが正しく構成されており、現在オンラインであることを確認するには、システム管理者に連絡してください。[OK]をクリックしてドメインコントローラを変更してサーバーのIPアドレスを入力すると、すべてのドメインデータを表示できますが、ユーザー設定を変更しようとするとエラーが発生します。ドメインが存在しないかアクセスできません。そしてWindows 2000以前のシステムでは、ユーザーにドメイン名を表示することはできません。[OK] をクリックすると、すべてのユーザー設定を表示できます。これを変更することができ、プログラムを再開しても変更は引き続き表示されますが、有効かどうかはわかりません(たとえば、新しいユーザーを作成してログインするなど)。 - 動作しません。 )

Puttyを介してサーバーに接続できます。

助けてください!どうすればいいですか?解決策はありますか? Sambaのアップデートに問題がありますか?

! ! !書き直す! ! !

上記の問題を解決しました。どうしたのかはわかりませんが…突然働き始めました。しかし、主な問題は、Windows 11 22H2とSambaの非互換性です。

私のADUCはまだドメインコントローラOSをSamba 4.10.16としてマークし、samba --versionUbuntuサーバーでは「バージョン4.7.6-Ubuntu」を返します。なぜ違いがあるのか​​わかりません。さらに重要なことは次のとおりです。

Samba 4.16 バージョンがない理由は何ですか? 4.16 バージョンにアップグレードする方法は?

答え1

エラー説明更新されたWindows 11 22H2システムは、影響を受けるSamba AD DCサーバーからKerberosチケットを取得できません。これは、そのWindowsシステムをSamba Active Directoryサーバーに参加させること、および参加しているWindows 11 22H2システムを引き続き使用することにも影響します。修正はSambaに含まれているHeimdal Kerberosコードにあります。 [テスト計画]このテストには、テスト中の影響を受けるUbuntuバージョンのSamba AD DCインストールに最新のWindows 11 22H2システムを接続することが含まれています。同様に、別の Windows システム (Windows 10 など) を同じ Samba ドメインに参加させ、変更に関係なく動作し続けます。このテストのすべてのインスタンスには Samba AD DC が必要です。テストしているUbuntuのバージョン、仮想マシン、またはベアメタル(lxc / lxdではない)にSamba AD DCサーバーをインストールします。

ここで完全な説明を確認してください。

Windows 11 22H2およびSamba-ADログインの問題

rootユーザーになります。

apt update
apt install -y samba winbind smbclient
systemctl stop smbd nmbd winbind
systemctl disable smbd nmbd winbind
systemctl mask smbd nmbd winbind
systemctl unmask samba-ad-dc
systemctl enable samba-ad-dc
mv /etc/samba/smb.conf{,orig}

samba-tool domain provision \
--domain=EXAMPLE --realm=EXAMPLE.SAMBA --adminpass=Passw0rd \
--server-role=dc --use-rfc2307 --dns-backend=SAMBA_INTERNAL

dns=$(resolvectl status | grep -E "^[[:blank:]]*Current DNS Server:" | awk '{print $4}')

[ -n "$dns" ] && \
sed -r -i "s,dns forwarder = .*,dns forwarder = ${dns}," \
/etc/samba/smb.conf

unlink /etc/resolv.conf
echo "nameserver 127.0.0.1" > /etc/resolv.conf
echo "search example.samba" >> /etc/resolv.conf
systemctl stop systemd-resolved
systemctl disable systemd-resolved
mv /var/lib/samba/private/krb5.conf /etc/
systemctl start samba-ad-dc

# relax the password settings to make it easier to test
samba-tool domain passwordsettings set --min-pwd-age=0 --complexity=off

# Create a samba user in the domain:
samba-tool user create ubuntu

# install krb5-user, to test with kinit. There should be no debconf prompts, since we have an /etc/krb5.conf already populated

apt install krb5-user -y

関連情報