Правильно ли я настроил Active Directory на моем сервере? (re: Linux / OSX не может присоединиться к домену)

327
SofaKng

Я только что установил Active Directory на свой сервер Windows 2012 R2, и мои машины с Windows 8/10 прекрасно подключаются, но Linux и OSX не могут подключиться.

Имя компьютера сервера AD - «DC01», и я использовал следующие команды для установки AD:

Install-WindowsFeature AD-Domain-Services –IncludeManagementTools

Install-ADDSForest -DomainName "ad.example.com" -DomainNetbiosName "пример" DomainMode Win2008R2 -ForestMode Win2008R2 -InstallDns

Если я правильно понимаю, полное доменное имя моего активного домена - ad.example.com . Домен реален и зарегистрирован в интернете, но поддомен нигде не существует. Когда я вхожу в домен, чтобы присоединиться к Windows 8/10, я ввожу это имя, и оно присоединяется идеально. Однако, когда я пытаюсь использовать любую другую операционную систему (OSX, Linux, VMware и т. Д.), Происходит сбой.

Что-то выглядит не так? Я использую сервер AD в качестве DNS-сервера.

Я получаю ошибки, такие как:

KRB5 Код ошибки: -1765328164 (Сообщение: невозможно разрешить сетевой адрес для KDC в области EXAMPLE.COM)

0

2 ответа на вопрос

0
Xalorous

Не уверен, какую версию Linux вы используете, но я нашел эту статью, когда настраивал свою сеть: как быстро и легко добавить Redhat Enterprise Linux 6 в Microsoft Active Directory. Это сработало для меня, в значительной степени «как есть». Насколько хорошо это работает для вас, зависит от того, насколько похожи ваши настройки.

Некоторые ключевые моменты преткновения:

  1. Возможно, вам придется подготовить объект компьютера для сервера, прежде чем вы сможете присоединиться к серверу.
  2. Используйте net adsкоманду в Linux для обработки задач администратора, особенно тестирования.
  3. Помните -U *adminaccountname*переключатель для net ads. Например net ads join -U DomainAdmin.

Удачи. Подумайте о полировке и публикации результатов

0
grawity

Подобласть действительно существует - это управляемая контроллером домена AD. Вот как клиенты должны находить контроллеры домена в первую очередь. Таким образом, в идеале он должен быть соответствующим образом делегирован из основного домена (с использованием записей NS) в AD DC, например:

ad.example.com. NS dc1.ad.example.com. dc1.ad.example.com. A 192.0.12.34

Чтобы начать устранение неполадок объединения, убедитесь, что ваши клиенты могут разрешать следующие (автоматически сгенерированные) записи в поддомене, управляемом AD:

_kerberos._udp.ad.example.com (type SRV) _ldap._tcp.ad.example.com (type SRV)

Как еще один тест, вы должны быть в состоянии kinit Administrator@ad.example.comдаже из не присоединенной системы.

Также попробуйте альтернативные клиенты AD - кроме обычной Samba (winbind), есть также sssd + realmd.

Похожие вопросы