Instale esta correcção se sofre deste problema. Resulta de ter realizado anteriormente uma restauração autoritativa em seu domínio. Isso resolveu nosso problema.
Qualquer pessoa tem experiência em vincular uma estação de trabalho 10.5+ a uma estrutura de diretório ativa de 2008. Testamos essa funcionalidade em nosso domínio de teste antes de fazer o upgrade e não tivemos problemas. Agora que atualizamos o ambiente de produção, estamos recebendo erros de nome de usuário / senha inválidos. Estamos pré-criando contas de máquina (como sempre fazemos) e eu tentei vincular com privilégios de nível de administrador de unidade organizacional e de administrador corporativo. O mesmo erro volta de ambos. A comunicação com o domínio parece estar funcionando, pois ele encontra um controlador de domínio corretamente (o DNS e o inverso estão bem) e também encontra meu objeto de computador pré-criado e solicita a vinculação a ele. Eu também tentei excluir as informações de serviço de diretório e tentei ligar do zero sem sorte. Eu tenho batido minha cabeça sobre isso por um tempo e poderia usar alguma ajuda.
UPDATE 3: rastreado até possivelmente um problema com o usuário krbtgt. Como ligação falha ao executar um comando changepw no objeto de computador. A Microsoft e a Apple estão atualmente trabalhando juntas nisso, e eu atualizarei com uma solução quando uma for alcançada.
UPDATE 4: O hotfix para corrigir este problema está na resposta abaixo.
Instale esta correcção se sofre deste problema. Resulta de ter realizado anteriormente uma restauração autoritativa em seu domínio. Isso resolveu nosso problema.
Eu não estou em casa no momento, então não posso olhar para o meu Mac. No entanto, acredito que você está procurando o "Directory Utility", que seria instalado em Applications- > Utilities. A última vez que tive que fazer essa configuração eu fiz em 10.4 mas bem, então bem.
Um problema que eu encontrei é em algum momento o dns dinâmico do Windows obteria dois registros para a mesma máquina e as coisas iriam quebrar. Você pode verificar isso executando "hostname" no terminal e verificando se você obtém mais de um nome.
Outro problema é a sincronização de horário. O AD usa kerberos e o tempo não pode ultrapassar mais de 5 minutos entre os DCs e o cliente. Eu devo configurar o controlador de domínio como seu servidor de horário, pelo menos como parte de um teste para descartar isso.
Em seguida, tente criar um novo objeto do AD com um nome diferente. Às vezes bot fazendo isso causou problemas. Eu achei que com a associação de grupo certa (tt está escorregando minha mente, "Power User" talvez) eu não precise pré-estágio minhas máquinas no AD. Gostaria de movê-los para a direita OU mais tarde.
Você pode querer verificar essas outras questões no ServerFault, bem como algumas dicas:
Você está recebendo os erros durante a ligação ou após a ligação? O que está sendo cuspido no Console.app?
Não tenho certeza se isso se aplica aqui, mas estou tendo os mesmos problemas. Encontrei isto:
Boa sorte.