Unir-se a um NetApp a um domínio em um controlador de domínio somente leitura

4

Eu tenho uma rede isolada, na qual eu construí um vfiler. O ponto dessa rede é que ela é uma rede de 'teste' não roteada.

No entanto, há necessidade de acesso LDAP / Kerberos e CIFS ao arquivador, por meio de contas em nível de domínio.

Portanto, temos controladores de domínio Somente leitura implantados.

Para ingressar em uma caixa do Windows no RODC, gostaríamos:

  • crie uma conta de máquina manualmente.
  • associe-se ao domínio e especifique a senha da conta da máquina no cliente.

Um ponto de googling me encontra: link

Quando o conselho é: Aponte o arquivador em um DC gravável manualmente primeiro.

Prefiro não fazer isso se puder evitá-lo - não tenho DCs graváveis nessa parte da rede deliberadamente. Mais importante - meus vfilers estão em um ipspace, então eu não posso nem temporariamente 'saltar' para uma rede com o acesso correto. (Isso é meio que eu acho, mas mesmo assim ...)

Alguém tem uma sugestão de como eu posso fazer isso - suponho que eu possa precisar extrair algumas informações do meu CD e transferi-las, como um servicePrincipal. Ou talvez apenas "defina" minha senha do CIFS manualmente em algum lugar.

    
por Sobrique 14.10.2014 / 16:48

2 respostas

0

No final eu fui com abrir o firewall temporariamente. Opções alternativas podem ter sido configurar uma nova interface virtual, adicioná-la ao espaço IP temporariamente. Isso teria funcionado, mas não no meu ambiente (eu já estava usando a VLAN / interface que eu precisaria mover).

No entanto, depois de ter acesso a um DC gravável, o artigo acima não está correto.

Você precisa;

  • defina o prefdc com cifs prefdc add <DC_IP>
  • definir o servidor ldap, por setting options.ldap.preferred (normalmente, isso será o mesmo que o DC).
  • execute a associação ao domínio e crie a conta da máquina.

Altere o prefdc e o LDAP preferido de volta ao original. Execute cifs resetdc para forçá-lo.

Espere No Trusted Logon Servers Available e Client not found in Kerberos database porque seus RODCs locais não terão replicado os detalhes corretos.

Você também pode precisar ajustar a conta do computador para ser um membro de um grupo para que ele replique completamente. Parte do ponto dos RODCs é que eles não têm um banco de dados completo e omitem alguns dos segredos compartilhados como parte da conta da máquina.

    
por 16.10.2014 / 13:39
1

Você pode voltar temporariamente adicionando uma interface roteável ao IPSpace, em seguida, poderá ingressar no domínio e, em seguida, remover essa interface do IPSpace.

    
por 14.10.2014 / 20:27