Unindo o Centos ao AD: O serviço de diretório não pôde alocar um identificador relativo

Navegue suas respostas
1

Desde que o CentOS 7 foi lançado, o uso da máquina no AD foi muito fácil. Apenas funciona, e se isso não acontecer, a razão é óbvia na mensagem de erro. No entanto, agora estou preso: 

# realm join [email protected] example.net -v
 * Resolving: _ldap._tcp.example.net
 * Performing LDAP DSE lookup on: 192.168.1.50
 * Successfully discovered: example.net
Password for [email protected]:
 * Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/bin/net
 * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.R9517Y -U [email protected] ads join example.net
Enter [email protected]'s password:
Failed to join domain: failed to join domain 'example.net' over rpc: The directory service was unable to allocate a relative identifier.
 ! Joining the domain example.net failed
realm: Couldn't join realm: Joining the domain example.net failed

Parece que o culpado é esse erro directory service was unable to allocate a relative identifier ; mas qualquer coisa que eu possa encontrar está relacionada à conexão com o DC após entrar.

Controlador de domínio é o Windows 2016 em 192.168.1.50

Interessante (e não surpreendente, que esse domínio tenha sido descoberto com sucesso), realm discover é bem-sucedido: 

# realm discover example.net
example.net
type: kerberos
realm-name: EXAMPLE.NET
domain-name: example.net
configured: no
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools

Além disso, se eu usar uma senha incorreta ou usar outra conta que não tenha privilégios de associação, obtenho o erro esperado.

    
por Felix 15.10.2017 / 19:02

1 resposta

2

Pardon, porque eu não sou super experiente com várias distribuições Linux, mas pelo lado do Active Directory, isso soa como se você pudesse ter um problema com o seu RID Master. Se o pool estiver esgotado e não estiver sendo reabastecido, pode ser que os outros controladores de domínio não possam se comunicar com ele por algum motivo.

O que acontece sob o capô é o mestre RID aloca um conjunto de (i) 500 RIDs de cada vez para novos objetos, e quando isso chega a menos de metade de um novo pedido é feito e um novo bloco de RIDs é atribuído .

Eu recomendaria tentar um dcdiag completo e verificar se há algum erro (ou solicitar que seu administrador do AD faça isso) como uma medida inicial.

    
por 15.10.2017 / 22:42

Tags

Duração da solicitação HTTP com o HAProxy Remova o AS que está falsamente associado ao nosso IP da lista de bloqueio de email