No final eu fui com abrir o firewall temporariamente. Opções alternativas podem ter sido configurar uma nova interface virtual, adicioná-la ao espaço IP temporariamente. Isso teria funcionado, mas não no meu ambiente (eu já estava usando a VLAN / interface que eu precisaria mover).
No entanto, depois de ter acesso a um DC gravável, o artigo acima não está correto.
Você precisa;
- defina o prefdc com
cifs prefdc add <DC_IP>
- definir o servidor ldap, por
setting options.ldap.preferred
(normalmente, isso será o mesmo que o DC). - execute a associação ao domínio e crie a conta da máquina.
Altere o prefdc e o LDAP preferido de volta ao original. Execute cifs resetdc
para forçá-lo.
Espere No Trusted Logon Servers Available
e Client not found in Kerberos database
porque seus RODCs locais não terão replicado os detalhes corretos.
Você também pode precisar ajustar a conta do computador para ser um membro de um grupo para que ele replique completamente. Parte do ponto dos RODCs é que eles não têm um banco de dados completo e omitem alguns dos segredos compartilhados como parte da conta da máquina.