У меня есть изолированная сеть, в которую я встроил vfiler. Суть этой сети в том, что это «тестовая» сеть без маршрутизации.
Однако существует потребность в доступе к фильтру через LDAP / Kerberos и CIFS через учетные записи уровня домена.
Итак, у нас развернуты контроллеры домена только для чтения.
Чтобы присоединить окно Windows к RODC, мы должны:
Меня находит поисковая система: https://kb.netapp.com/support/index?page=content&id=1012918
Где совет: сначала направьте файлер на доступный для записи DC вручную.
Я бы предпочел не делать этого, если смогу этого избежать - у меня намеренно не установлены контроллеры домена с возможностью записи на этом участке сети. Что еще более важно, мои vfiler находятся в ipspace, поэтому я не могу даже временно «перепрыгнуть» в сеть с нужным доступом. (Я думаю, что это своего рода суть, но даже в этом случае ...)
Есть ли у кого-нибудь предложение о том, как я могу это сделать - я предполагаю, что мне может потребоваться извлечь некоторую информацию из моего контроллера домена и передать ее, например servicePrincipal. Или, возможно, просто «установите» мой пароль CIFS где-нибудь вручную.
Вы можете временно вернуться назад, добавив маршрутизируемый интерфейс в IPSpace - затем вы можете присоединиться к домену, а затем удалить этот интерфейс из IPSpace.
В конце концов, я временно открыл брандмауэр. Альтернативными вариантами могли быть настройка нового виртуального интерфейса, временное добавление его в пространство IP. Это сработало бы, но не в моей среде (я уже использовал VLAN / интерфейс, который мне нужно было переместить).
Однако если у вас есть доступ к DC с возможностью записи - статья выше не совсем верна.
Тебе надо;
cifs prefdc add <DC_IP>setting options.ldap.preferred (обычно это то же самое, что и DC).Измените prefdc и предпочитаемый LDAP обратно на исходный. Бегать cifs resetdc заставить его.
Ожидать No Trusted Logon Servers Available и Client not found in Kerberos database потому что ваши локальные контроллеры домена только для чтения не смогли воспроизвести нужные детали.
Вам также может потребоваться настроить учетную запись компьютера, чтобы она была членом группы, чтобы она полностью реплицировалась. Отчасти смысл контроллеров домена только для чтения заключается в том, что они не имеют полной базы данных и пропускают некоторые общие секреты как часть учетной записи компьютера.