Não é possível unir a máquina do Fedora 20 ao RODC do Active Directory com o realmd

5

Eu não sei muito sobre o Active Directory, mas tenho alguns conhecimentos básicos sobre o que ele faz. Eu tenho tentado juntar uma máquina Fedora 20 ao domínio e tenho tido alguns problemas. Eu corri o comando realm como tal:

sudo realm join -v -U [admin user] [hostname of RODC]

Por algum motivo, tenho que usar o nome do host do controlador de domínio somente leitura. Se eu usar o nome do domínio, recebo o seguinte erro:

 * Resolving: _ldap._tcp.[domain]
 ! Discovery timed out after 15 seconds

Se eu especificar o nome do host do RODC, tudo correrá bem: ele resolve, solicita a senha do usuário administrador especificado no comando, autentica, mas falha ao definir a senha da conta do computador:

 * Resolving: _ldap._tcp.[RODC host name]
 * Resolving: [RODC host name]
 * Performing LDAP DSE lookup on: [internal IP of RODC]
 * Successfully discovered: [domain]
Password for [domain admin]: 
 * Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/sbin/adcli
 * LANG=C /usr/sbin/adcli join --verbose --domain [domain] --domain-realm [domain, in caps] --domain-controller [internal IP of RODC] --login-type user --login-user [domain admin] --stdin-password
 * Using domain name: [domain]
 * Calculated computer account name from fqdn: [machine host name, in caps/computer account]
 * Using domain realm: [domain]
 * Sending cldap pings to domain controller: [internal IP of RODC]
 * Received NetLogon info from: [host name of RODC, in caps].[domain]
 * Wrote out krb5.conf snippet to /var/cache/realmd/adcli-krb5-pMXPuH/krb5.d/adcli-krb5-conf-OcXLS5
 * Authenticated as user: [admin user]@[domain, in caps]
 * Looked up short domain name: [short name]
 * Using fully qualified name: [machine host name].[domain]
 * Using domain name: [domain name]
 * Using computer account name: [computer account]
 * Using domain realm: [domain name]
 * Enrolling computer account name calculated from fqdn: [computer account]
 * Generated 120 character computer password
 * Using keytab: FILE:/etc/krb5.keytab
 * Using fully qualified name: [machine host name].[domain]
 * Using domain name: [domain]
 * Using computer account name: [computer account]
 * Using domain realm: [domain]
 * Looked up short domain name: [short name]
 * Found computer account for [computer account]$ at: CN=[computer account],OU=[redacted] Computers,OU=[redacted],OU=[redacted],OU=[redacted],DC=[redacted],DC=[redacted],DC=[redacted]
 ! Couldn't set password for computer account: [computer account]$: Incorrect net address
adcli: joining domain [domain] failed: Couldn't set password for computer account: [computer account]$: Incorrect net address
 ! Failed to join the domain
realm: Couldn't join realm: Failed to join the domain

Ao pesquisar, encontrei um artigo do TechNet que menciona o "endereço de rede incorreto" erro como um problema de DNS. Onde devo procurar primeiro para resolver este problema?

    
por MetaNova 12.02.2014 / 18:49

2 respostas

1

O motivo pelo qual você está vendo esse erro é porque não é possível gravar no RODC para criar uma senha. O AD cria uma senha do computador quando o objeto é criado e um gerado aleatoriamente ao ingressar em um domínio.

Você precisa confiar no Kerberos, que armazena em cache a senha do servidor e, quando você se associa ao RODC, ele não o avisa. Primeiro, crie um arquivo keytab no DC gravável para o servidor Linux específico e, em seguida, mova-o para lá, de preferência para /etc/krb5.keytab e defina a permissão para 600.

    
por 26.08.2016 / 18:31
0

Você não poderá criar nada em um RODC do Active Directory. A parte RO significa Somente Leitura. Trabalhe com os administradores do Active Directory para obter o nome do host de um controlador de domínio gravável.

    
por 01.06.2014 / 05:28