У нас есть три машины MacOS, все с 10.4.x, привязанные к нашей сети Active Directory. Домен имеет два контроллера домена в одной подсети (192.168.1.0/24). Один из контроллеров домена (вторичный, который не выполняет ни одну из 5 ролей FSMO) в настоящее время отключен. Он физически выключен, потому что его загрузочный том закрыт.
Поскольку вторичный контроллер домена отключился, два из трех компьютеров Mac не смогли выполнить стандартную проверку подлинности Active-Directory. Я не могу войти ни в один из них как пользователь AD, я не могу использовать учетные данные AD в приглашении UAC, и я даже не могу запустить «Доступ к каталогу» - он запускается, но затем перестает отвечать, и мне нужно заставить выйти, чтобы закрыть его.
Однако я могу получить билет Kerberos для пользователя AD с помощью графической утилиты Kerberos. И когда я запускаю 'dsconfig ad -show' на одном из Mac-нарушителей, я вижу основной контроллер домена (тот, который на самом деле работает прямо сейчас) в строке «Предпочитаемый контроллер домена».
И все наши машины с Windows (работающие под управлением XP Pro) отлично проходят аутентификацию по AD - я думаю, что исключает любую проблему репликации.
Просто интересно, что я могу сделать дальше, чтобы решить эту проблему.
Обновление в пятницу днем, 7 августа
Обе машины просто перестали иметь проблемы с AD. Я перезапустил их оба, но я сделал это дважды раньше с одним из них, но безрезультатно. Так что я думаю, что сейчас вопрос стал академическим. Все еще интересно услышать, как кто-нибудь еще может решить эту проблему.
Невозможно запустить Directory Access - проблема. Вы определенно не должны этого видеть. За прошедшие годы я столкнулся со многими проблемами с Mac и AD и никогда не видел этого. Я бы порекомендовал их отвязать и заново привязать. Поскольку вы не можете использовать утилиту каталогов, вам придется использовать команду DSCONFIGAD в терминале. Вы можете составить его или просмотреть следующую статью: (в сети есть много объяснений)
http://www.peachpit.com/articles/article.aspx?p=1246089
Отмените привязку и выполните привязку, следуя инструкциям в этой статье, и посмотрите, исправит ли это проблему. Теоретически потеря DC не должна была повлиять на его подключение, однако я видел, как макинтоши плачут, когда Open Directory Master выходит из строя, хотя он должен иметь возможность подключиться к реплике, поэтому я не удивлен, что это злит. Вы также можете проверить свой DNS. Если мертвый DC все еще можно решить, выполнив NSLOOKUP на вашем DOMAIN, я уверен, что Mac может пытаться его поразить. Вероятно, это не так устойчиво, как клиенты Windows, когда умирает DC.