Назад | Перейти на главную страницу

Ubuntu + AD; Не удалось присоединиться к домену: не удалось установить spn машины: нарушение ограничения

Я пытаюсь присоединить сервер Ubuntu 12.04 к Active Directory. Я установил samba, и kb5-user, создал учетную запись компьютера в AD и сделал:

> net ads testjoin
Join is OK

Все идет нормально. Затем я столкнулся с проблемой:

> sudo net join -U myuser
Failed to join domain: failed to set machine spn: Constraint violation

У меня нет доступа для изменения чего-либо на сервере Active Directory, поскольку я не администратор. Есть ли способ обойти эту ошибку?

Я знаю, что этот пост старый, но я столкнулся с той же проблемой, и вот что я нашел. Если вы пытаетесь добавить компьютер в домен, но не используете учетную запись «администратора домена». Права делегированной учетной записи должны включать как минимум следующее:

-Этот объект и все потомки

• Создание объектов "Компьютер"

• Удалить объекты "Компьютер"

-Дополнительные компьютерные объекты

• Прочитать все свойства

• Напишите все свойства

•Сменить пароль

•Сброс пароля

• Подтвержденная запись на имя хоста DNS

• Подтвержденная запись в субъект-службу

Надеюсь, это поможет!

Я также столкнулся с той же проблемой, что winbindd просто не запускался. Запись уже была в / etc / hosts, но мне нужно было изменить /etc/nsswitch.conf и изменить его так, чтобы сначала были файлы.

хосты: mdns4_minimal файлы nis dns mdns4 myhostname

к

хосты: файлы mdns4_minimal nis dns mdns4 myhostname

Возникла эта ошибка во время нашего производственного обновления Solaris samba и одновременного перехода на другой домен AD. Мы удалили объект в старом домене, но не сказали samba покинуть старый домен. Решение пыталось «оставить чистую рекламу», хотя в нем говорилось: «Не удалось покинуть домен: не удалось подключиться к AD: невозможно связаться ни с одним KDC для запрошенной области». Однако, должно быть, что-то прояснилось в самбе, и мы смогли присоединиться к новому домену.

Несколько замечаний, которые могут оказаться полезными, которые мы испытали при обновлении с samba 3 до samba 4:

  • Наличие winbind в nsswitch для passwd вызывало некоторые проблемы с изменением паролей с этой ошибкой «обнаружена неподдерживаемая конфигурация в /etc/nsswitch.conf»

  • Используя локальные учетные записи Unix и карту пользователей samba, нам не нужен был winbind в nsswitch для passwd или группы (или где-то еще). Фактически, если бы мы использовали winbind в nsswitch, нам пришлось бы добавить «set ngroups_max =» в / etc / system (и перезагрузить), иначе samba вызвала бы панику и дамп памяти, когда она перечислит более 16 групп. Было бы также паника, если бы он перечислил больше групп, чем.

  • Использование имени хоста, отличного от fqdn, для доступа к ресурсам samba в разных доменах приведет к ошибке NT_STATUS_NO_SUCH_USER. Решением было добавить [NOTFOUND = continue] для хостов после файлов и перед dns в nsswitch. то есть "хосты: файлы [NOTFOUND = continue] dns"

Это, вероятно, редкость, но я подумал, что поделюсь тем, что мы испытали.

Мне удалось решить эту проблему, добавив запись DNS для хоста перед попыткой присоединиться

Подбежал к той же проблеме ... Требуется добавить запись в / etc / hosts.

Таким образом, первая запись должна быть IP, вторая должна быть полным доменным именем для домена, к которому вы присоединяетесь, а остальные могут быть в любом порядке.

Я столкнулся с этой проблемой при попытке настроить машину с аутентификацией sssd. Да хоть убей, я не мог заставить его работать. Я использовал учетные данные администратора домена, и я использовал написанный мной сценарий, который уже работал, возможно, на дюжине хостов.

Итак, я зашел на свой сервер домена и просмотрел иерархию в поисках экземпляров имени моей машины. Я удалил их (некоторые записи выглядели довольно необычно, например "host-N55A1B", и я их тоже удалил), затем вернулся в Linux и повторил попытку установки kinit.

Работал.

Я столкнулся с той же ошибкой, даже если присоединяющийся пользователь имеет полное разрешение на уровне домена на стороне AD. Решение состояло в том, чтобы снять флажок «не требовать предварительную аутентификацию Kerberos» в пользовательских атрибутах на стороне AD присоединяющегося пользователя.