[samba-jp:21767] Preauthentication failedでWindows 2003ドメインに参加できない

2012年 8月 10日 (金) 16:41:15 JST

久しぶりにWindows 2003ドメインへのSambaサーバ参加をさせてみたのですが、
どうもうまくいきません。Sambaのバージョンを変えてみたりしたのですが、
それでもだめ。
1:現象
net ads testjoin してみると
kerberos_kinit_password OPENSUSE121$@DOMTEST.LOCAL failed: Preauthentication failed
Join to domain is not valid: Logon failure
というエラーが出る。
以下の環境で駄目
 Windows 2003 R2 - opensuse 12.1 (Samba 3.6.3)
 Windows 2003SP1 - CentOS 6.1 (Samba 3.5.x)
 - Debian 4.0.x (Samba 3.0.24)
このエラーは過去ログを検索すると、
http://cgi.samba.gr.jp/mailman/archives/samba-jp/2007-December/001201.html
のスレッドがあり、結局解決していませんでした。
本家の方を検索してみたのですが、回答に結びつきそうなものは見つけられ
ませんでした。
2: 設定
2-1: smb.conf
[global]
 workgroup = DOMTEST
 passdb backend = tdbsam
 printing = bsd
 netbios name = opensuse121
 security = ads
 realm = DOMTEST.LOCAL
 usershare allow guests = No
[homes]
 comment = Home Directories
 valid users = %S, %D%w%S
 browseable = No
 read only = No
 inherit acls = Yes
(以下共有定義なので略)
2-2: krb5.conf
[libdefaults]
# default_realm = EXAMPLE.COM
default_realm = DOMTEST.LOCAL
[realms]
DOMTEST.LOCAL = {
 kdc = 172.28.89.197
 admin_server = 172.28.89.197
}
[domain_realm]
 .domtest.local = DOMTEST.LOCAL
 domtest.local = DOMTEST.LOCAL
[logging]
 kdc = FILE:/var/log/krb5/krb5kdc.log
 admin_server = FILE:/var/log/krb5/kadmind.log
 default = SYSLOG:NOTICE:DAEMON
3: その他
# net ads info
LDAP server: 172.28.89.197
LDAP server name: w2003.DOMTEST.LOCAL
Realm: DOMTEST.LOCAL
Bind Path: dc=DOMTEST,dc=LOCAL
LDAP port: 389
Server time: 2012年8月10日 16:36:14 JST
KDC server: 172.28.89.197
Server time offset: 0
なので、DCは見えているみたいです。
# host -t SRV _ldap._tcp.pdc._msdcs.domtest.local
_ldap._tcp.pdc._msdcs.domtest.local has SRV record 0 100 389 w2003.domtest.local.
なので、DNSも引けているみたいです。
なお、Windows XP でのドメイン参加は出来ましたので、Windows 2003の設定に
問題はないと思うのですが、ひょっとしたら何かドジっているのかもしれません。
何かアイデアがあれば是非
oota