web-dev-qa-db-ja.com

読み取り専用ドメインコントローラー上のドメインへのNetAppの参加

分離されたネットワークがあり、その中にvfilerを構築しました。このネットワークのポイントは、ルーティングされていない「テスト」ネットワークであるということです。

ただし、ドメインレベルのアカウントを介したファイラーへのLDAP/KerberosおよびCIFSアクセスが必要です。

したがって、読み取り専用ドメインコントローラーが展開されています。

WindowsボックスをRODCに参加させるには、次のようにします。

  • 手作業でマシンアカウントを作成します。
  • ドメインに参加し、クライアントでマシンアカウントのパスワードを指定します。

グーグルのスポットが私を見つけます: https://kb.netapp.com/support/index?page=content&id=1012918

アドバイスは次のとおりです。最初に手動で書き込み可能なDCにファイラーを向けます。

私はそれを避けることができればそれをしたくありません-私は意図的にネットワークのこの部分に書き込み可能なDCを持っていません。さらに重要なのは、vfilerがipspaceにあるため、適切なアクセス権を持つネットワークに一時的に「ジャンプ」することさえできないことです。 (これは私が推測するポイントの一種ですが、それでも...)

誰かが私がこれを達成する方法についての提案を持っていますか?私はDCからいくつかの情報を抽出し、servicePrincipalなどの情報を転送する必要があるかもしれないと思います。 '私のCIFSパスワードを手動でどこかに。

4
Sobrique

結局、一時的にファイアウォールを開いて行きました。別のオプションは、新しい仮想インターフェイスを構成し、それを一時的にIPスペースに追加することでした。それはうまくいきましたが、私の環境ではうまくいきませんでした(私はすでに移動する必要があるVLAN /インターフェースを使用していました)。

ただし、書き込み可能なDCにアクセスできるようになると、上記の記事は完全に正しくありません。

必要がある;

  • prefdcをcifs prefdc add <DC_IP>で設定します
  • setting options.ldap.preferredでLDAPサーバーを設定します(通常、これはDCと同じになります)。
  • ドメイン結合を実行し、マシンアカウントを作成します。

Prefdcと優先LDAPを元に戻します。 cifs resetdcを実行して強制します。

ローカルRODCが正しい詳細を複製していないため、No Trusted Logon Servers AvailableClient not found in Kerberos databaseを期待してください。

また、完全に複製されるように、コンピューターアカウントをグループのメンバーになるように調整する必要がある場合もあります。 RODCのポイントの一部は、完全なデータベースがなく、マシンアカウントの一部として共有シークレットの一部が省略されていることです。

0
Sobrique

ルーティング可能なインターフェイスをIPSpaceに追加することで、一時的に戻ることができます。その後、ドメインに参加して、そのインターフェイスをIPSpaceから削除できます。

1
Basil