squid+域環境 出現 當嘗試取回該 URL 時遇到下面的錯誤 訪問被拒絕。
收藏(0)
故障問題:
ERROR
The requested URL could not be retrieved
當嘗試取回該 URL 時遇到下面的錯誤:http://news.163.com/
訪問被拒絕。
Access
control configuration prevents your request from being allowed at this
time. Please contact your service provider if you feel this is
incorrect.
緩存服務器的管理員 root.
已由 localhost (squid/3.1.10) 生成 Sat, 14 Feb 2015 03:59:43 GMT
故障時間及環境:
故障環境為 centos 6.6 搭建的iptables+squid+windows 域用戶驗證。沒有設置透明代理。
故障時間為 早上10點。突然打開白名單的任何網站都提示這個錯誤。
故障解決思路。
這個服務器是上一個工程師搭建的,我也是臨時接手。由於各種原因,交接不過兩三個小時。導致了問題解決時間很長。
服務器在這個時間段沒有進行任何操作,這臺服務器已經穩定工作半年了。排查網絡問題 ,squid主機連接外部網站(正常~!)域dns 解析(正常排除dns問題)~!
由於前一個星期機房停電,服務器斷電。懷疑可能哪個服務故障沒有正常啟動,百度所需要啟動 的 smb nmb ntp squid winbind iptables krb5kdc 服務 發覺都是啟動的。
檢查了所有配置文件,都是之前的沒有變動 只是偶爾加入一些白名單的網址。一切正常。
繼續百度,發覺有些網友的解決辦法,增加多幾個dns。還是沒有解決問題。
因為正是公司上班高峰期 不敢耽誤大家的工作,臨時在squid.conf 的配置文件裏面,註釋掉http_access deny all 加入http_access allow all . reload squid 讓大家先能夠正常辦公。
繼續分析,放開驗證所有用戶能正常上網,說明設置配置沒有問題 可能是驗證賬戶出了問題 。查詢/var/log/squid/access.log 和cache.log 對比了以下之前的log 也沒有發現什麽異常,然後就陷入僵局一直百度,查找解決方法。實際上是我對這套系統不太熟悉導致耽誤大部分時間。最後發覺日誌,不是單獨存放在squid 裏面的 。而是存在於/var/log/message 裏面。查找發覺從10點裏開始報,錯誤
錯誤關鍵字:
libads/kerberos_utils.c:101(ads_kinit_password)
kerberos kinit_password 你的域名 failed ticket is ineligible for postdating
http://community.arubanetworks.com/t5/AAA-NAC-Guest-Access-BYOD/Unable-to-join-CPPM-to-a-domain/ta-p/192619 這個網頁找到並解決問題。
故障原因
由於squid 服務器的時間跟域服務器的時間不統一,誤差有4-5分鐘,導致了錯誤產生,這也就能說明白為什麽用的很正常,突然出現故障,而且連接數也不是很高。校準好時間,10分鐘以後再檢查/var/log/message 錯誤消失。註銷squid配置文件裏面的 http_access allow all 改成 http_access deny all , reload squid服務, 使用一切正常。
故障解決辦法
校正 squid服務器 和域服務器的時間,所以生產環境還是把所有服務器校正統一的時間服務器。
over
squid+域環境 出現 當嘗試取回該 URL 時遇到下面的錯誤 訪問被拒絕。