OSX Server 3, ligação de clientes Mac ao OD e falha do Gerenciador de Perfis

Eu fiz uma configuração contendo um Mac Mini com o OSX Server 3 (Mavericks 10.9.2) usando o Open Directory e o Profile Manager (Mail, etc, todos configurados e funcionando).

Agora, a coisa é, internamente na rede local, tudo funciona muito bem. Os clientes podem ligar ao OD e os usuários podem efetuar login. Eu posso instalar perfis de confiança e configurações (personalizados ou perfis de grupo) e todos os serviços nos perfis mencionados estão sendo configurados corretamente. Eu posso entrar e sair, corro e faço 100 vezes em macs diferentes com usuários diferentes, funciona.

Meu objetivo é tornar esse serviço publicamente. O domínio está com um FQDN que possuo, por simplicidade digamos server.domain.com . Agora, a única maneira de ligar os clientes ao OD é usar o mapeamento LDAP RCF2307 (sem SSL) e um sufixo DN de dc=server,dc=domain,dc=com usando o Utilitário de Diretório. As opções from server ou open directory lançarão vários erros, como Connection failed to node '/LDAPv3/server.domain.com (2100) .

Primeiro, eu realmente não entendo o problema porque os clientes não podem se ligar ao OD como ocorre localmente, com e sem SSL (todas as portas estão abertas, literalmente todas as portas estão abertas, não apenas 389.636 e 1640, não tinha certeza se eu estava faltando algum).

Quando os clientes estão usando o mapeamento LDAP RFC2307 para ligar (sem SSL somente), os clientes podem autenticar, efetuar login e até carregar o perfil de Confiança. Mas cada perfil de configurações falhará com um Debug Message: Unable to find GUID in user record OD ou falhará ao instalar missing user identification .

Existe alguma maneira de fazer isso funcionar sem o RFC2307? Porque faltam algumas coisas ao usar RFC2307 e não puxar o mapeamento do servidor ou usar open directory .

Esta configuração é possível? Ou devo usar VPN para autenticar com o OD?

A configuração de rede é um Modem / Router (DHCP desligado) com WAN NATted para um Airport Extreme (usando DHCP + NAT). O AE notifica com uma mensagem double NAT , mas eu não tive nenhum problema com ele em nenhum outro serviço. Então, WAN - > 192.168.2.220 (estático), AE - > 10.0.1. * (Dhcp)

Saída do DIG do lado de fora usando dig server.domain.com

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;server.domain.com.     IN  A
;; ANSWER SECTION:
server.domain.com. 77   IN  A   91.50.*.* (valid WAN IP)
;; SERVER 172.*.*.1#53(172.*.*.1) (iPhone)

DIG localmente de um cliente e servidor (mesma saída)

;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; QUESTION SECTION:
;server.domain.com. IN  A
;; ANSWER SECTION:
server.domain.com. 10800    IN  A   10.0.1.11
;; AUTHORITY SECTION:
server.domain.com. 10800    IN  NS  domain.com. (used for email send in relay)
server.domain.com. 10800    IN  NS  server.domain.com.
;; SERVER 10.0.1.11#53(10.0.1.11)

Existe alguma coisa que devo verificar? Só tem OSX.

duplo problema de NAT , conectado diretamente ao servidor no Modem / Router com um IP estático e o problema permanece. Acho que isso exclui o duplo NAT.

changeip -checkhostname vem com Não há nada para mudar , por exemplo sucesso.

Primary address     = 10.0.1.11
Current HostName    = server.domain.com
DNS HostName        = server.domain.com

Por enquanto, eu fiz uma solução usando uma conta de administrador que força um conexão VPN permanente na inicialização. Isso significa que antes de entrar no login, uma conexão já foi feita ou está em andamento.

Eu continuarei este post quando tiver mais tempo, também localizando todos os arquivos .log necessários de cada aplicativo envolvido. Eu tenho algumas suspeitas, mas tenho que depurar um pouco mais quando tenho mais tempo em minhas mãos ...

Unless, of course, I get sidetracked with having a life. Which is arguably 
not very likely.       
                                                               krypted.com