2019 November 08 netapp, Active directory, smb2

domain account 没有了文件访问权限了

问题描述

这周刚开始，大概在周二的时候早上，有人过来说他放在netapp存储上的文件不能访问了，弹框要验证，说没权限。
而这些人都是以前配置的好的，用域账户进行验证的，本身的域账户并没有存在过期或者锁定的问题。
经过检查，本地账户是ok的，为了解决他们访问的问题，先临时开了几个本地账户用。顺便为解决问题争取下时间。
但是最终还是要解决这个问题啊，要不然，权限设定要烦啊。

诊断过程

首先登录netapp存储console里面去，看下安全日志，发现存在很多“None LSA server”的信息 ```shell

event log show -messagename secd.* event log show -severity DEBUG

- 检查到域控的网络，以及时间服务是否正常

```shell
#从lif是否能够ping通域控    

network ping -lif lif-cifs-01 -vserver svm-netapp01-cifs -destination ip_of_domain_controller 

#显示ntp服务器

cluster time-service ntp server show 

#显示当前时间
date 

当前的cifs都是使用的活动目录进行验证的，cifs的本体是加入到domain的。经过dsquery，dsget的检查，这个计算机对象的本体是好的，没有被disable，也没有过期。
那下来就是检查验证方式是不是出错了。 ```shell cifs security show -vserver vservername

结果如下： Vserver: svm-netapp01-cifs

                Kerberos Clock Skew:                   5 minutes
                Kerberos Ticket Age:                  10 hours
               Kerberos Renewal Age:                   7 days
               Kerberos KDC Timeout:                   3 seconds
                Is Signing Required:               false
    Is Password Complexity Required:                true    Use start_tls for AD LDAP connection:               false
          Is AES Encryption Enabled:               false
             LM Compatibility Level:  lm-ntlm-ntlmv2-krb
         Is SMB Encryption Required:               false
            Client Session Security:                none
    SMB1 Enabled for DC Connections:                true
    SMB2 Enabled for DC Connections:                true ```

怀疑是域控的安全策略进行了更新或者进行了升级，SMB1的连接方式被撤销了。所以先将SMB1的这个连接方式在netapp上面禁用掉，让其只能使用SMB2的方式与预控进行通讯，试试看，是否会解决问题

cifs security modify -vserver vservername -smb1-enabled-for-dc-connections false -smb2-enabled-for-dc-connections true

结果如下：
Vserver: svm-netapp01-cifs

                    Kerberos Clock Skew:                   5 minutes
                    Kerberos Ticket Age:                  10 hours
                   Kerberos Renewal Age:                   7 days
                   Kerberos KDC Timeout:                   3 seconds
                    Is Signing Required:               false
        Is Password Complexity Required:                true
   Use start_tls for AD LDAP connection:               false
              Is AES Encryption Enabled:               false
                 LM Compatibility Level:  lm-ntlm-ntlmv2-krb
             Is SMB Encryption Required:               false
                Client Session Security:                none
        SMB1 Enabled for DC Connections:               false
        SMB2 Enabled for DC Connections:                true

到netapp的web管理控制台，到cifs的共享文件夹下面，去添加个域的账户到访问权限列表中，如果可以添加，那么问题已经解决了。因为在添加账户的时候就需要进行sid的验证了，验证通过就说明与域的通讯已经恢复正常。
至此问题解决。

总结：

解决问题的前提是能够根据已有的情况，先尽量的缩小问题的爆发面积，争取解决问题的时间。
利用已知的情况，去分析与该问题相关联的对象，以及属性，还有就是收集确切的信息，事件日志
通过确切的日志信息来缩小与问题相关联的对象的范围，然后修改对应的条目来进行测试
比如这个问题，netapp上cifs唯一和域通讯相关的除了dns，ntp外，就只有smb1/smb2这两个属性了，那么在不影响功能的前提下，禁用一个，使用高版本看看，就是解决问题的方法了