AD 组成员身份更改未反映在 winbind 信息中

我继承了几个 RHEL5 服务器，这些服务器设置为通过 winbind 对用户的 AD 帐户进行身份验证。在我更新 AD 中的组成员身份之前，一切正常。对于某些用户，这些更改永远不会出现在“groups”命令的输出中，尽管它们反映在“getent group <groupname>”的输出中。

例如，考虑以下情况：

[root@hcc1pl1 ~]# groups plubans
plubans : 域用户系统基础设施开发
[root@hcc1pl1 ~]# getent group q1esb
q1esb:*:23136:q1qai,q1prodi

如果我将自己添加到 winbind 正在使用的 DC 上的 q1esb，您可以看到成员资格已更新：

[root@hcc1pl1 ~]# lsof -i | grep winbind
winbindd 31339 root 17u IPv4 63817934 TCP hcc1pl1:56541->hcnas01:microsoft-ds (ESTABLISHED)
winbindd 31339 root 21u IPv4 63817970 TCP hcc1pl1:53622->hcnas01:ldap (ESTABLISHED)
[root@hcc1pl1 ~]#ldapsearch -u -x -LLL -h hcnas01 -D "[email protected]" -W -b "CN=Peter Lubans,OU=标准用户账户,OU=Users,OU=XXX,DC=XXX,DC=XXX" "( sAMAccountName=*)" memberOf
输入 LDAP 密码：
...
memberOf：CN=q1esb,OU=Security Groups,OU=Groups,OU=XXX,DC=XXX,DC=XXX
...

请注意，winbind 在没有缓存的情况下运行（-n 标志）：

[root@hcc1pl1 ~]# ps -ef | grep winbind
root 31339 1 0 13:50？00:00:00 winbindd -n
root 31340 31339 0 13:50？00:00:00 winbindd -n
root 31351 31339 0 13:50？00:00:00 winbindd -n
root 31352 31339 0 13:50？00:00:00 winbindd -n
root 31353 31339 0 13:50？00:00:00 winbindd -n

现在 getent 显示该组具有正确的成员：

[root@hcc1pl1 ~]# getent group q1esb
q1esb:*:23136:q1qai,plubans,q1prodi

但更新后的会员资格并未反映在我的帐户详细信息中：

[root@hcc1pl1 ~]# groups plubans
plubans : 域用户系统基础设施开发
[root@hcc1pl1 ~]#

这个问题真正令人烦恼的部分是，它适用于这台机器上的其他帐户，以及我从头开始配置的机器上的帐户。

有任何想法吗？