squid+域环境 出现 当尝试取回该 URL 时遇到下面的错误 访问被拒绝。

dickrong

　　                                                                                                                         收藏(0)        故障问题：                                                            

ERROR
The requested URL could not be retrieved
当尝试取回该 URL 时遇到下面的错误：http://news.163.com/
访问被拒绝。
Access
control configuration prevents your request from being allowed at this
time. Please contact your service provider if you feel this is
incorrect.
缓存服务器的管理员 root.
已由 localhost (squid/3.1.10) 生成 Sat, 14 Feb 2015 03:59:43 GMT
　　

　　故障时间及环境：
　　故障环境为 centos 6.6 搭建的iptables+squid+windows 域用户验证。没有设置透明代理。
　　故障时间为 早上10点。突然打开白名单的任何网站都提示这个错误。
　　

　　故障解决思路。
　　这个服务器是上一个工程师搭建的，我也是临时接手。由于各种原因，交接不过两三个小时。导致了问题解决时间很长。

• 　　服务器在这个时间段没有进行任何操作，这台服务器已经稳定工作半年了。排查网络问题 ，squid主机连接外部网站（正常～！）域dns 解析（正常排除dns问题）～！
  
  
• 　　由于前一个星期机房停电，服务器断电。怀疑可能哪个服务故障没有正常启动，百度所需要启动 的 smb  nmb ntp squid winbind iptables krb5kdc 服务 发觉都是启动的。
  
• 　　检查了所有配置文件，都是之前的没有变动 只是偶尔加入一些白名单的网址。一切正常。
  
  
• 　　继续百度，发觉有些网友的解决办法，增加多几个dns。还是没有解决问题。
  
• 　　因为正是公司上班高峰期 不敢耽误大家的工作，临时在squid.conf 的配置文件里面，注释掉http_access deny all  加入http_access allow all . reload squid 让大家先能够正常办公。
  
• 　　继续分析，放开验证所有用户能正常上网，说明设置配置没有问题可能是验证账户出了问题 。查询/var/log/squid/access.log 和cache.log  对比了以下之前的log 也没有发现什么异常，然后就陷入僵局一直百度，查找解决方法。实际上是我对这套系统不太熟悉导致耽误大部分时间。最后发觉日志，不是单独存放在squid里面的 。而是存在于/var/log/message 里面。查找发觉从10点里开始报，错误
  

　　错误关键字：

　　libads/kerberos_utils.c:101(ads_kinit_password)
　　kerberos kinit_password 你的域名 failed ticket is ineligible for postdating
　　

　　http://community.arubanetworks.com/t5/AAA-NAC-Guest-Access-BYOD/Unable-to-join-CPPM-to-a-domain/ta-p/192619 这个网页找到并解决问题。
　　

　　故障原因

　　由于squid服务器的时间跟域服务器的时间不统一，误差有4-5分钟，导致了错误产生，这也就能说明白为什么用的很正常，突然出现故障，而且连接数也不是很高。校准好时间，10分钟以后再检查/var/log/message错误消失。注销squid配置文件里面的  http_access allow all  改成 http_access deny all ，  reload squid服务， 使用一切正常。
　　

　　故障解决办法
　　校正 squid服务器 和域服务器的时间，所以生产环境还是把所有服务器校正统一的时间服务器。

　　

　　over