winbindd: kinit成功，但ads_sasl_spnego_krb5_bind失败:无法联系请求领域的任何KDC

Question

在寻找登录到加入的samba机器是缓慢的的原因时，我有强烈的印象，我的日志文件中的以下错误可能是一个提示。

Apr  3 14:44:14 eu2 winbindd[19632]: [2014/04/03 14:44:14.166820,  0] ../source3/libads/sasl.c:994(ads_sasl_spnego_bind)
Apr  3 14:44:14 eu2 winbindd[19632]:   kinit succeeded but ads_sasl_spnego_krb5_bind failed: Cannot contact any KDC for requested realm

每个连接大约有5到20个这样的条目，我正在试图了解问题的所在。经过几天的搜索，我能找到的最接近的是另一个SF问题，这意味着可能存在DNS问题。

事实：

1/ kinit工作了，我得到了一张票

root@eu2:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: yop@DOMAIN.EXAMPLE.COM

Valid starting       Expires              Service principal
04/03/2014 13:55:24  04/03/2014 23:55:24  krbtgt/DOMAIN.EXAMPLE.COM@DOMAIN.EXAMPLE.COM
        renew until 04/04/2014 13:55:19

2/ /etc/krb.conf是

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes

[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}

此配置来自Samba和。

3/我检查了DNS是否在做它的工作(引用上面的wiki )：

root@eu2:~# host -t srv _kerberos._tcp.DOMAIN.EXAMPLE.COM
;; Truncated, retrying in TCP mode.
_kerberos._tcp.DOMAIN.EXAMPLE.COM has SRV record 0 100 88 server1.etc.etc...
_kerberos._tcp.DOMAIN.EXAMPLE.COM has SRV record 0 100 88 server2.etc.etc...
(...)

4/ winbind版本是4.1.6-Debian

5/浏览需要通过身份验证访问的机器的共享是快速的，并且不会生成错误日志。登录就行了。也许这是PAM的问题？

知道日志中的错误消息可能意味着什么吗?典型的根本原因是什么？

Answer 1

删除avahi守护进程修复了我的机器上的问题。

我在这里找到了解决方案：https://lists.samba.org/archive/samba/2013-January/171069.html

Answer 2

您还能检查_msdcs子域中的SRV条目吗？

http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/NetworkBrowsing.html#adsdnstech