squid+域環(huán)境 出現(xiàn) 當(dāng)嘗試取回該 URL 時(shí)遇到下面的錯(cuò)誤 訪問(wèn)被拒絕。

                                                                                                                             收藏(0)         故障問(wèn)題：                                                                

ERROR

The requested URL could not be retrieved

當(dāng)嘗試取回該 URL 時(shí)遇到下面的錯(cuò)誤：http://news.163.com/

訪問(wèn)被拒絕。

Access
control configuration prevents your request from being allowed at this 
time. Please contact your service provider if you feel this is 
incorrect.

緩存服務(wù)器的管理員 root.

已由 localhost (squid/3.1.10) 生成 Sat, 14 Feb 2015 03:59:43 GMT

故障時(shí)間及環(huán)境：

故障環(huán)境為 centos 6.6 搭建的iptables+squid+windows 域用戶驗(yàn)證。沒(méi)有設(shè)置透明代理。

故障時(shí)間為 早上10點(diǎn)。突然打開(kāi)白名單的任何網(wǎng)站都提示這個(gè)錯(cuò)誤。

故障解決思路。

這個(gè)服務(wù)器是上一個(gè)工程師搭建的，我也是臨時(shí)接手。由于各種原因，交接不過(guò)兩三個(gè)小時(shí)。導(dǎo)致了問(wèn)題解決時(shí)間很長(zhǎng)。

1. 服務(wù)器在這個(gè)時(shí)間段沒(méi)有進(jìn)行任何操作，這臺(tái)服務(wù)器已經(jīng)穩(wěn)定工作半年了。排查網(wǎng)絡(luò)問(wèn)題 ，squid主機(jī)連接外部網(wǎng)站（正常～?。┯?a title="dns" target="_blank" href="http://www.kemok4.com/dns/">dns 解析（正常排除dns問(wèn)題）～！
   

2. 由于前一個(gè)星期機(jī)房停電，服務(wù)器斷電。懷疑可能哪個(gè)服務(wù)故障沒(méi)有正常啟動(dòng)，百度所需要啟動(dòng) 的 smb  nmb ntp squid winbind iptables krb5kdc 服務(wù) 發(fā)覺(jué)都是啟動(dòng)的。

3. 檢查了所有配置文件，都是之前的沒(méi)有變動(dòng) 只是偶爾加入一些白名單的網(wǎng)址。一切正常。
   

4. 繼續(xù)百度，發(fā)覺(jué)有些網(wǎng)友的解決辦法，增加多幾個(gè)dns。還是沒(méi)有解決問(wèn)題。

5. 因?yàn)檎枪旧习喔叻迤?不敢耽誤大家的工作，臨時(shí)在squid.conf 的配置文件里面，注釋掉http_access deny all  加入http_access allow all . reload squid 讓大家先能夠正常辦公。

6. 繼續(xù)分析，放開(kāi)驗(yàn)證所有用戶能正常上網(wǎng)，說(shuō)明設(shè)置配置沒(méi)有問(wèn)題 可能是驗(yàn)證賬戶出了問(wèn)題 。查詢/var/log/squid/access.log 和cache.log  對(duì)比了以下之前的log 也沒(méi)有發(fā)現(xiàn)什么異常，然后就陷入僵局一直百度，查找解決方法。實(shí)際上是我對(duì)這套系統(tǒng)不太熟悉導(dǎo)致耽誤大部分時(shí)間。最后發(fā)覺(jué)日志，不是單獨(dú)存放在squid 里面的 。而是存在于/var/log/message 里面。查找發(fā)覺(jué)從10點(diǎn)里開(kāi)始報(bào)，錯(cuò)誤

錯(cuò)誤關(guān)鍵字：

libads/kerberos_utils.c:101(ads_kinit_password)

kerberos kinit_password 你的域名 failed ticket is ineligible for postdating

http://community.arubanetworks.com/t5/AAA-NAC-Guest-Access-BYOD/Unable-to-join-CPPM-to-a-domain/ta-p/192619 這個(gè)網(wǎng)頁(yè)找到并解決問(wèn)題。

故障原因

由于squid 服務(wù)器的時(shí)間跟域服務(wù)器的時(shí)間不統(tǒng)一，誤差有4-5分鐘，導(dǎo)致了錯(cuò)誤產(chǎn)生，這也就能說(shuō)明白為什么用的很正常，突然出現(xiàn)故障，而且連接數(shù)也不是很高。校準(zhǔn)好時(shí)間，10分鐘以后再檢查/var/log/message 錯(cuò)誤消失。注銷squid配置文件里面的  http_access allow all  改成 http_access deny all ，  reload squid服務(wù)， 使用一切正常。

故障解決辦法

校正 squid服務(wù)器 和域服務(wù)器的時(shí)間，所以生產(chǎn)環(huán)境還是把所有服務(wù)器校正統(tǒng)一的時(shí)間服務(wù)器。

over