Я мало что знаю об Active Directory, но у меня есть базовые знания о том, что она делает. Я пытался присоединить машину Fedora 20 к домену, и у меня возникли некоторые проблемы. Я запустил realm команда как таковая:
sudo realm join -v -U [admin user] [hostname of RODC]
По какой-то причине я должен использовать имя хоста контроллера домена только для чтения. Если я использую имя домена, я получаю следующую ошибку:
* Resolving: _ldap._tcp.[domain]
! Discovery timed out after 15 seconds
Если я укажу имя хоста контроллера домена только для чтения, все идет хорошо: он разрешается, запрашивает пароль пользователя admin, указанного в команде, аутентифицируется, но не работает при установке пароля для учетной записи компьютера:
* Resolving: _ldap._tcp.[RODC host name]
* Resolving: [RODC host name]
* Performing LDAP DSE lookup on: [internal IP of RODC]
* Successfully discovered: [domain]
Password for [domain admin]:
* Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/sbin/adcli
* LANG=C /usr/sbin/adcli join --verbose --domain [domain] --domain-realm [domain, in caps] --domain-controller [internal IP of RODC] --login-type user --login-user [domain admin] --stdin-password
* Using domain name: [domain]
* Calculated computer account name from fqdn: [machine host name, in caps/computer account]
* Using domain realm: [domain]
* Sending cldap pings to domain controller: [internal IP of RODC]
* Received NetLogon info from: [host name of RODC, in caps].[domain]
* Wrote out krb5.conf snippet to /var/cache/realmd/adcli-krb5-pMXPuH/krb5.d/adcli-krb5-conf-OcXLS5
* Authenticated as user: [admin user]@[domain, in caps]
* Looked up short domain name: [short name]
* Using fully qualified name: [machine host name].[domain]
* Using domain name: [domain name]
* Using computer account name: [computer account]
* Using domain realm: [domain name]
* Enrolling computer account name calculated from fqdn: [computer account]
* Generated 120 character computer password
* Using keytab: FILE:/etc/krb5.keytab
* Using fully qualified name: [machine host name].[domain]
* Using domain name: [domain]
* Using computer account name: [computer account]
* Using domain realm: [domain]
* Looked up short domain name: [short name]
* Found computer account for [computer account]$ at: CN=[computer account],OU=[redacted] Computers,OU=[redacted],OU=[redacted],OU=[redacted],DC=[redacted],DC=[redacted],DC=[redacted]
! Couldn't set password for computer account: [computer account]$: Incorrect net address
adcli: joining domain [domain] failed: Couldn't set password for computer account: [computer account]$: Incorrect net address
! Failed to join the domain
realm: Couldn't join realm: Failed to join the domain
При поиске я нашел Статья в TechNet в котором упоминается ошибка «неправильный сетевой адрес» как проблема DNS. Куда мне в первую очередь обратиться, чтобы устранить эту проблему?
Причина, по которой вы видите эту ошибку, заключается в том, что вы не можете писать в RODC для создания пароля. AD создает компьютерный пароль при создании объекта и случайно сгенерированный при присоединении к домену.
Вы должны полагаться на Kerberos, который кэширует пароль сервера, и когда вы присоединяетесь к RODC, он не запрашивает вас. Сначала создайте файл keytab на доступном для записи DC для определенного сервера Linux, затем переместите его туда, предпочтительно /etc/krb5.keytab и установите разрешение 600.
Вы не сможете ничего создавать на контроллере домена только для чтения Active Directory. Часть RO означает только чтение. Обратитесь к администраторам Active Directory, чтобы получить имя хоста контроллера домена с возможностью записи.