У любого есть опыт привязки рабочей станции 10.5+ к структуре Active Directory 2008 года. Мы протестировали эту функцию в нашем тестовом домене перед обновлением и не обнаружили никаких проблем. Теперь, когда мы обновили производственную среду, мы получаем ошибки неверного имени пользователя / пароля. Мы предварительно создаем учетные записи компьютеров (как всегда), и я пробовал выполнить привязку с правами администратора подразделения и уровня администратора предприятия. Одна и та же ошибка возвращается от обоих. Связь с доменом, похоже, работает, поскольку он правильно находит DC (прямая и обратная адресация DNS в порядке), а также находит мой предварительно созданный компьютерный объект и запрашивает привязку к нему. Я также пытался удалить информацию о службе каталогов и безуспешно пытался выполнить привязку с нуля. Я уже давно ломаю голову над этим, и мне нужна помощь.
ОБНОВЛЕНИЕ 3: Возможно, возникла проблема с пользователем krbtgt. Поскольку привязка не выполняется при выполнении команды changepw на объекте компьютера. Microsoft и Apple в настоящее время работают вместе над этим, и я обновлю решение, когда оно будет найдено.
ОБНОВЛЕНИЕ 4: Исправление для устранения этой проблемы находится в ответе ниже.
Установите это исправление, если у вас возникла эта проблема. Это связано с выполнением ранее принудительного восстановления вашего домена. Это устранило нашу проблему.
Не уверен, применимо ли это здесь, но у меня те же проблемы. Нашел это:
http://support.apple.com/kb/HT3394?viewlocale=en_US
Удачи.
Вы можете также проверить эти другие вопросы на ServerFault, чтобы получить некоторые подсказки:
Вы получаете ошибки при привязке или после привязки? Что выплевывают в Console.app?
Меня сейчас нет дома, поэтому я не могу смотреть в свой Mac. Однако я считаю, что вы ищете «Утилиту каталогов», которая будет установлена в Приложения-> Утилиты. В прошлый раз, когда мне приходилось делать эту конфигурацию, я делал это в 10.4, но тогда все хорошо.
Одна из проблем, с которой я столкнулся, заключается в том, что когда-нибудь динамический DNS-сервер Windows получает две записи для одной и той же машины, и все ломается. Вы можете проверить это, запустив "hostname" в терминале и посмотрев, получили ли вы более одного имени.
Другая проблема - синхронизация времени. AD использует керберос, и время между контроллерами домена и клиентом не может превышать 5 минут. Я настроил DC в качестве сервера времени, по крайней мере, в рамках теста, чтобы исключить это.
Затем попробуйте создать новый объект AD с другим именем. Иногда действия бота вызывали проблемы. Я обнаружил, что с правильным членством в группе (возможно, это вылетает из головы, «опытный пользователь») мне не нужно предварительно настраивать свои машины в AD. Я просто переместил бы их в правое OU позже.