squid+域環境 出現 當嘗試取回該 URL 時遇到下面的錯誤 訪問被拒絕。

標籤：requested   service   contact   管理員   伺服器   

                                                                                                                             收藏(0)         故障問題：                                                                

ERROR

The requested URL could not be retrieved

當嘗試取回該 URL 時遇到下面的錯誤：http://news.163.com/

訪問被拒絕。

Access
control configuration prevents your request from being allowed at this 
time. Please contact your service provider if you feel this is 
incorrect.

快取服務器的管理員 root.

已由 localhost (squid/3.1.10) 產生 Sat, 14 Feb 2015 03:59:43 GMT

故障時間及環境：

故障環境為 centos 6.6 搭建的iptables+squid+windows 域使用者驗證。沒有設定透明代理。

故障時間為 早上10點。突然開啟白名單的任何網站都提示這個錯誤。

故障解決思路。

這個伺服器是上一個工程師搭建的，我也是臨時接手。由於各種原因，交接不過兩三個小時。導致了問題解決時間很長。

1. 伺服器在這個時間段沒有進行任何操作，這台伺服器已經穩定工作半年了。排查網路問題 ，squid主機串連外部網站（正常～！）域dns 解析（正常排除dns問題）～！
   

2. 由於前一個星期機房停電，伺服器斷電。懷疑可能哪個服務故障沒有正常啟動，百度所需要啟動 的 smb  nmb ntp squid winbind iptables krb5kdc 服務 發覺都是啟動的。

3. 檢查了所有設定檔，都是之前的沒有變動 只是偶爾加入一些白名單的網址。一切正常。
   

4. 繼續百度，發覺有些網友的解決辦法，增加多幾個dns。還是沒有解決問題。

5. 因為正是公司上班高峰期 不敢耽誤大家的工作，臨時在squid.conf 的設定檔裡面，注釋掉http_access deny all  加入http_access allow all . reload squid 讓大家先能夠正常辦公。

6. 繼續分析，放開驗證所有使用者能正常上網，說明設定配置沒有問題 可能是驗證賬戶出了問題 。查詢/var/log/squid/access.log 和cache.log  對比了以下之前的log 也沒有發現什麼異常，然後就陷入僵局一直百度，尋找解決方案。實際上是我對這套系統不太熟悉導致耽誤大部分時間。最後發覺日誌，不是單獨存放在squid 裡面的 。而是存在於/var/log/message 裡面。尋找發覺從10點裡開始報，錯誤

650) this.width=650;" src="https://s4.51cto.com/wyfs02/M01/98/AD/wKioL1k_hFKys9FaAAGn23wuFKg539.jpg-wh_500x0-wm_3-wmp_4-s_1003728184.jpg" title="QQ.jpg" alt="wKioL1k_hFKys9FaAAGn23wuFKg539.jpg-wh_50" />

錯誤關鍵字：

libads/kerberos_utils.c:101(ads_kinit_password)

kerberos kinit_password 你的網域名稱 failed ticket is ineligible for postdating

http://community.arubanetworks.com/t5/AAA-NAC-Guest-Access-BYOD/Unable-to-join-CPPM-to-a-domain/ta-p/192619 這個網頁找到並解決問題。

故障原因

由於squid 伺服器的時間跟網域服務器的時間不統一，誤差有4-5分鐘，導致了錯誤產生，這也就能說明白為什麼用的很正常，突然出現故障，而且串連數也不是很高。校準好時間，10分鐘以後再檢查/var/log/message 錯誤消失。登出squid設定檔裡面的  http_access allow all  改成 http_access deny all ，  reload squid服務， 使用一切正常。

故障解決辦法

校正 squid伺服器 和網域服務器的時間，所以生產環境還是把所有伺服器校正統一的時間伺服器。

over

squid+域環境 出現 當嘗試取回該 URL 時遇到下面的錯誤 訪問被拒絕。