Ошибка Squid+AD(kerberos)

[shtanko]

Добрый день. Активна связка Squid+AD(kerberos). Начали выскакивать такие ошибки

Code Select Expand

2020/03/02 12:54:11 kid1| Error negotiating SSL connection on FD 328: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (1/0)
2020/03/02 12:54:45 kid1| Error negotiating SSL connection on FD 313: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (1/0)
support_resolv.cc(201): pid=8533 :2020/03/02 12:55:07| kerberos_ldap_group: ERROR: Error while resolving ip address with getnameinfo: Temporary failure in name resolution
support_sasl.cc(276): pid=8533 :2020/03/02 12:55:07| kerberos_ldap_group: ERROR: ldap_sasl_interactive_bind_s error: Can't contact LDAP server
support_ldap.cc(957): pid=8533 :2020/03/02 12:55:07| kerberos_ldap_group: ERROR: Error while binding to ldap server with SASL/GSSAPI: Can't contact LDAP server
support_resolv.cc(289): pid=8533 :2020/03/02 12:55:56| kerberos_ldap_group: ERROR: Error while resolving service record _ldap._tcp.ZARYA.INT with res_search
support_resolv.cc(77): pid=8533 :2020/03/02 12:55:56| kerberos_ldap_group: ERROR: res_search: No response for SRV query
2020/03/02 12:56:07 kid1| Error negotiating SSL connection on FD 372: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (1/0)
2020/03/02 12:56:16 kid1| Error negotiating SSL connection on FD 122: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (1/0)
2020/03/02 12:56:29| Error sending to ICMP packet to 64.233.161.198. ERR: (1) Operation not permitted

Mar 02 13:00:16 proxy (ext_kerberos_ldap_group_acl)[8533]: GSSAPI client step 1
Mar 02 13:00:17 proxy (ext_kerberos_ldap_group_acl)[8533]: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Server not found in Kerberos database)
Mar 02 13:00:17 proxy (ext_kerberos_ldap_group_acl)[8533]: GSSAPI client step 1

Подскажите что нужно сделать. куда "копать"?

[Уваров А.С.]

Смотреть в сторону DNS, у вас явные проблемы этой службой:

No response for SRV query
Error while resolving ip address with getnameinfo: Temporary failure in name resolution

[shtanko]

DNS у меня на WІ2k8 r2. тестил, там все ок!
c ntp тоже все ок,!
куда еще смотреть?

[shtanko]

Начали появляться такие ошибки

Code Select Expand

Mar 04 12:04:36 proxy (ext_kerberos_ldap_group_acl)[6744]: GSSAPI client step 1
Mar 04 12:04:36 proxy (ext_kerberos_ldap_group_acl)[6744]: GSSAPI client step 2
Mar 04 12:04:37 proxy (squid-1)[6737]: The squid_user helpers are crashing too rapidly, need help!
Mar 04 12:04:37 proxy squid[4212]: Squid Parent: (squid-1) process 6737 exited with status 1
Mar 04 12:04:37 proxy squid[4212]: Squid Parent: (squid-1) process 6737 will not be restarted due to repeated, frequent failures
Mar 04 12:04:37 proxy squid[4212]: Exiting due to repeated, frequent failures
Mar 04 12:04:38 proxy (ext_kerberos_ldap_group_acl)[6753]: GSSAPI client step 1
Mar 04 12:04:38 proxy (ext_kerberos_ldap_group_acl)[6753]: GSSAPI client step 1
Mar 04 12:04:38 proxy (ext_kerberos_ldap_group_acl)[6753]: GSSAPI client step 1
Mar 04 12:04:38 proxy (ext_kerberos_ldap_group_acl)[6753]: GSSAPI client step 2

[shtanko]

Проверил еще раз DNS.
И правда появилась ошибка DFSREvent

Code Select Expand

За последние 24 часа после предоставления SYSVOL в общий доступ
         зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
         репликации SYSVOL могут стать причиной проблем групповой политики.
         Возникла ошибка. Код события (EventID): 0xC00004B2
            Время создания: 03/04/2020   08:31:05
            Строка события:
            Службе репликации DFS не удалось связаться с контроллером домена , ч
тобы получить сведения о конфигурации. Репликация остановлена. Служба вновь попы
тается это сделать во время следующего цикла опроса, который произойдет через 60
 мин. Это событие может быть вызвано проблемами с подключением TCP/IP, брандмауэ
ром, доменными службами Active Directory или DNS.

            Дополнительные сведения:
            Ошибка: 160 (Неверны один или несколько аргументов.)
         ......................... WSDC1 - не пройдена проверка DFSREventГуглю, но пока не нагуглил, подскажите как решить проблему.

[Уваров А.С.]

Вы не там смотрите, проверяйте взаимодействие с DNS непосредственно с роутера. Затем запустите хелпер вручную в режиме отладки и посмотрите вывод. В статьях все это есть.