24. juni 2004 - 20:16Der er
25 kommentarer og 1 løsning
Vores raid-box er forsvundet
Vi har et domæne med en
- win2k domain controller - freeBSD firewall - raid box om hvem nmap siger: Interesting ports on TOASTER (192.168.0.11): (The 1592 ports scanned but not shown below are in state: closed) Port State Service 21/tcp open ftp 23/tcp open telnet 80/tcp open http 111/tcp open sunrpc 139/tcp open netbios-ssn 514/tcp open shell 603/tcp open unknown 605/tcp open unknown 607/tcp open nqs Remote operating system guess: NetApp OnTap 5.1.2 - 5.3.5r2 Uptime 11.260 days (since Sun Jun 13 13:42:30 2004) Nmap run completed -- 1 IP address (1 host up) scanned in 42 seconds
og flere computere.
Efter at vi har opgraderet DC med sp4 kan vi ikke logge ind på raid boxen mere.
På raid kassens skærm får vi meddelelsen: DC indicates Guest login. login rejected because guest account not set.
Teknologi, AI og forretning er i centrum på Computerworlds Cloud og AI Festival i København d. 18. og 19. september. Se hele programmet for den store konference om strategisk brug af Cloud og AI på: www.cloud-festival.dk
hmm nu ved jeg en masse om windows domæner, men ikke så meget om hvad en raid box er.. Er det bare en "almindelig" pc eller noget der tager plads i windows domænet som en normal node?
Nogle ideer: Computer account for raid kassen forsvundet i AD? Der benyttes en form for service account som måske er forsvundet? Den lader til at ville benytte en guest account, og det skal den ikke, men her er jeg så grundet mit manglende kendskab til hvad en raid kasse er i tvivl om det er login fra AD server til raid eller omvendt? Kunne forestille mig at der feks er sket noget med at guest account har været benyttet, med et blankt password og guest account muligvis er blevet disabled af sikkerheds stramninger i sp4..
strych9>> nu ved jeg heller ikke så meget om den, men den ses som computer under hele netværket, og den er oprettet som domain computer under domænet. Dens styrsystem må minde om unix, da man logger ind som "root". Det er en hot-swap raid fileserver af ældre dato.
DC indicates Guest login. login rejected because guest account not set.
Det her tolker jeg således, at domain controlleren har sagt til boxen at det er en gæst som gerne vil ind, og boxen nægter adgang fordi der ikke er et gæstekonto sat op. Som sagt kan vi godt logge ind via telnet. Når jeg prøver at logge ind via windows eller ftp vil den ikke acceptere "root" og passwordet. Det er noget værre bæ... Men hvad nu?
kan det tænkes at den kører Samba og er gjort til medlems server i domænet ad den vej? Kan du eventuelt se en computer account for den i AD users and computers konsollen?
general: workstation or server member of: domain computers karolinelund/users managed by:karolinelund/users/administrator object: object class: computer security: her er alle brugergrupper listet som har adgang, og det er mange. Dels kun til læsning og skrivning, dels fuld kontrol.
Prøv at telnette til den, log ind som root, og skriv ps -A hvis den accepterer kommandoen. Kan du se om der står noget med smb eller samba i output? Giver uname -a noget output?
ps not found, type ? for list of commands. der er ikke nogen kommando som hedder uname, men jeg prøver.............. nej, den gik ikke. men jeg kan prøve at sende dig en liste over gyldige kommandoer.
jeg har også tilføjet mig selv til listen over adgangsrettigheder i AD (jeg er administrator på serveren) og den giver samme fejl når jeg prøver at logge ind.
ok så.. Ja en eller anden form for UNIX lader det til at være. Kan konstatere at det måske er en gammel version af SunOS, men kan ikke sige med sikkerhed. Kan dog se at der er en kommando der hedder version, så hvis den kan spytte OS version ud så har vi en meget bedre chance for at finde en manual, en feature liste, eller bare et eller andet der kan hjælpe på vej og give nogle ideer. Kommandoen useradmin ser interessant ud. Måske den kan hjælpe. Der er sikkert man sider med, så du kan skrive "man useradmin" for at få en hjælpe fil frem.
Angående paste fra terminal klient, så skal man sommetider benytte shift + ins og ctrl + ins i dem i stedet for ctrl + c og ctrl + v.
Så hvad siger "version"? og står der egentlig et model navn nogen steder på den raid box?
version -b skulle give NetApp OS version, såvel som Data ONTAP version, og det ville være enormt nyttigt at konstatere om det virkelig er de to ting den kører.
den leverer ingen manual, men jeg kan skriver useradmin ? så leverer den 3 kommandoer, useradmin useradd, useradmin userdel, useradmin userlest med parametre. Når jeg skriver ......userlist, kommer brugerne frem men en enkel kommentar, og jeg kan se at ham der har indrettet den er der samt steffen og en www=apache webserver.
jeg har nu gjort følgende: - slettet mig selv med useradmin userdel ebe - oprettet mig selv igen med useradmin useradd ebe med samme password som jeg har på domain controlleren - prøvet at logge ind. nu skriver raid konsollen: login attempt by KAROLINELUND\ebe from bluebird login rejectet by DC for reason "bad password"
navn og password er det samme som til DC, jeg kan godt logge ind på den
Det lader til at NetApp og OnTap integrerer i AD med de sædvanlige teknologier som feks Kerberos, og ud over det deler filer med CIFS/SMB. Så man kan sige at for AD at se, er NetApp kassen et fuldgyldigt medlem af domænet præcist på linje med feks en Windows server.
Jeg fandt i en manual følgende kommandoer: cifs_prefdc configure and display CIFS preferred Domain Controller information cifs_resetdc reset CIFS connection to Domain Controller cifs_testdc test the Filer's connection to Windows NT domain controllers
Du prøve dem af uden at der skulle ske noget drastisk, og du kan dobbeltchecke at den information som cifs_prefdc giver er korrekt. En af kommandoerne giver måske en fejl, og i så fald er denne fejl vigtig at bide mærke i.
Ud over det er resolv.conf filen interessant. Din NetApp kasse _skal_ benytte den samme DNS server som AD benytter, og dette er sandsyneligvis bare ip på AD serveren selv som så skal stå i en nameserver entry i resolv.conf. Hvis den ikke gør så kan der ikke authentikeres.
Jeg kan se at kassen kan operere i både NT4 og AD modes. NT4 mode startes den i når der ikke kan findes noget AD via DNS, så her er din resolv.conf og en fungerende DNS service for AD altså meget meget vigtig.
En anden ting der kan gå ged i er hvis computer account i AD for kassen er blevet slettet og genoprettet. Så får den et nyt SID nummer, og sandsyneligvis vil intet fungere.
Kerberos kan også være et problem. Måske henter den ikke den rigtige nøgle til din bruger? Måske er kassen blevet tvunget til at skifte fra NTLM authentikering til Kerberos i forbindelse med installation af sp4.
Tillige kan jeg se at der er et NetApp QuickSetup-Windows Edition værktøj som du kan bruge til at konfigurere dyret fra windows. Hvis du altså kan finde det..
Det her er hvad jeg sådan lige kan se, uden at have kassen imellem hænderne, og uden at have andet information end "DC blev opgraderet til sp4". Der kan være mange andre hændelser der er relevante som feks at DC ip er blevet skiftet ud, eller at DNS service er flyttet eller whatever.
Det var en ordentlig mundfuld !!! :) jeg prøver at lege med det, håber jeg klarer det inden i morgen eftermiddag, hvor jeg skal rejse på ferie. Vil du være sød at lægge et svar, så giver jeg pointsene nu. Hvis der bliver flere spørgsmål, kommer jeg bare tilbage hertil.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
