OSX Server 3, сбой привязки клиентов Mac к OD и Profile Manager

Я сделал установку, содержащую Mac Mini с OSX Server 3 (Mavericks 10.9.2), используя Open Directory и Profile Manager (Mail и т. Д. Все настроены и работают).

Теперь дело в том, что внутри локальной сети все работает отлично. Клиенты могут подключаться к OD, а пользователи могут входить в систему. Я могу установить профили доверия и настроек (настраиваемые или групповые), и все службы в упомянутых профилях настроены правильно. Я могу входить и выходить, бегать и проделывать это 100 раз на разных Mac с разными пользователями, это работает.

Моя цель - сделать эту услугу публичной. Домен с полным доменным именем, которым я владею, для простоты скажем server.domain.com. Теперь единственный способ привязать клиентов к OD - использовать сопоставление LDAP. RCF2307 (без SSL) и суффикс DN dc=server,dc=domain,dc=com с помощью утилиты каталогов. Варианты from server, или open directory выдаст несколько ошибок, например Connection failed to node '/LDAPv3/server.domain.com (2100).

Прежде всего, я не совсем понимаю проблему, почему клиенты не могут подключаться к OD, как это происходит локально, с SSL и без него (все порты открыты, буквально все порты открыты, а не только 389 636 и 1640, не было). конечно, если мне что-то не хватало).

Когда клиенты используют сопоставление LDAP RFC2307 для привязки (только без SSL), клиенты могут аутентифицироваться, входить в систему и даже загружать профиль доверия. Но каждый профиль настроек потерпит неудачу с Debug Message: Unable to find GUID in user record OD или не установить, говоря missing user identification.

Есть ли способ заставить это работать без RFC2307? Потому что при использовании чего-то не хватает RFC2307 и не извлекать отображение с сервера или использовать open directory.

Возможна ли вообще такая установка? Или мне следует использовать VPN для аутентификации с OD?

Настройка сети - модем / маршрутизатор (DHCP выключен) с WAN NAT, подключенным к Airport Extreme (с использованием DHCP + NAT). AE уведомляет с помощью double NAT сообщение, но у меня не было проблем с ним ни в одном другом сервисе. Итак, WAN -> 192.168.2.220 (статический), AE -> 10.0.1. * (Dhcp)

Вывод DIG извне с помощью dig server.domain.com

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;server.domain.com.     IN  A
;; ANSWER SECTION:
server.domain.com. 77   IN  A   91.50.*.* (valid WAN IP)
;; SERVER 172.*.*.1#53(172.*.*.1) (iPhone)

DIG локально с клиента и сервера (тот же вывод)

;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; QUESTION SECTION:
;server.domain.com. IN  A
;; ANSWER SECTION:
server.domain.com. 10800    IN  A   10.0.1.11
;; AUTHORITY SECTION:
server.domain.com. 10800    IN  NS  domain.com. (used for email send in relay)
server.domain.com. 10800    IN  NS  server.domain.com.
;; SERVER 10.0.1.11#53(10.0.1.11)

Что я должен проверить? Есть только OSX.

- проблема с двойным NAT, подключил сервер непосредственно к модему / маршрутизатору со статическим IP-адресом, и проблема остается. Думаю, это исключает возможность двойного NAT.

- changeip -checkhostname поставляется с Нечего менять, например успех.

Primary address     = 10.0.1.11
Current HostName    = server.domain.com
DNS HostName        = server.domain.com

На данный момент я нашел обходной путь, используя учетную запись администратора, которая заставляет постоянное соединение VPN при загрузке. Это означает, что до входа в систему соединение уже установлено или выполняется.

Я продолжу этот пост, когда у меня будет больше времени, а также найду все необходимые файлы .log для каждого задействованного приложения. У меня есть некоторые подозрения, но мне нужно немного отладить, когда у меня будет больше времени ...

Unless, of course, I get sidetracked with having a life. Which is arguably 
not very likely.       
                                                               krypted.com