web-dev-qa-db-ja.com

realmdを使用してFedora20マシンをActiveDirectoryRODCに参加させることができません

Active Directoryについてはあまり詳しくありませんが、Active Directoryの機能に関する基本的な知識はいくつかあります。 Fedora 20マシンをドメインに参加させようとしていますが、いくつか問題があります。私はrealmコマンドを次のように実行しました:

Sudo realm join -v -U [admin user] [hostname of RODC]

何らかの理由で、読み取り専用ドメインコントローラーのホスト名を使用する必要があります。ドメインの名前を使用すると、次のエラーが発生します。

 * Resolving: _ldap._tcp.[domain]
 ! Discovery timed out after 15 seconds

RODCのホスト名を指定すると、すべてうまくいきます。解決し、コマンドで指定した管理者ユーザーのパスワードを要求し、認証しますが、コンピューターアカウントのパスワードを設定すると失敗します。

 * Resolving: _ldap._tcp.[RODC Host name]
 * Resolving: [RODC Host name]
 * Performing LDAP DSE lookup on: [internal IP of RODC]
 * Successfully discovered: [domain]
Password for [domain admin]: 
 * Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/sbin/adcli
 * LANG=C /usr/sbin/adcli join --verbose --domain [domain] --domain-realm [domain, in caps] --domain-controller [internal IP of RODC] --login-type user --login-user [domain admin] --stdin-password
 * Using domain name: [domain]
 * Calculated computer account name from fqdn: [machine Host name, in caps/computer account]
 * Using domain realm: [domain]
 * Sending cldap pings to domain controller: [internal IP of RODC]
 * Received NetLogon info from: [Host name of RODC, in caps].[domain]
 * Wrote out krb5.conf snippet to /var/cache/realmd/adcli-krb5-pMXPuH/krb5.d/adcli-krb5-conf-OcXLS5
 * Authenticated as user: [admin user]@[domain, in caps]
 * Looked up short domain name: [short name]
 * Using fully qualified name: [machine Host name].[domain]
 * Using domain name: [domain name]
 * Using computer account name: [computer account]
 * Using domain realm: [domain name]
 * Enrolling computer account name calculated from fqdn: [computer account]
 * Generated 120 character computer password
 * Using keytab: FILE:/etc/krb5.keytab
 * Using fully qualified name: [machine Host name].[domain]
 * Using domain name: [domain]
 * Using computer account name: [computer account]
 * Using domain realm: [domain]
 * Looked up short domain name: [short name]
 * Found computer account for [computer account]$ at: CN=[computer account],OU=[redacted] Computers,OU=[redacted],OU=[redacted],OU=[redacted],DC=[redacted],DC=[redacted],DC=[redacted]
 ! Couldn't set password for computer account: [computer account]$: Incorrect net address
adcli: joining domain [domain] failed: Couldn't set password for computer account: [computer account]$: Incorrect net address
 ! Failed to join the domain
realm: Couldn't join realm: Failed to join the domain

検索を行ったところ、DNSの問題として「不正なネットアドレス」エラーについて言及している TechNetの記事 が見つかりました。この問題のトラブルシューティングを最初にどこで行うべきですか?

domain-name-systemactive-directoryfedora
5
MetaNova

このエラーが表示されるのは、RODCに書き込んでパスワードを作成できないためです。 ADは、オブジェクトの作成時にコンピューターパスワードを作成し、ドメインへの参加中にランダムに生成されたパスワードを作成します。

サーバーのパスワードをキャッシュするKerberosに依存する必要があります。RODCに参加すると、プロンプトは表示されません。まず、特定のLinuxサーバー用に書き込み可能なDCにキータブファイルを作成し、そこに移動します。/etc/krb5.keytabよりも望ましい方法で、アクセス許可を600に設定します。

1
Dejan

およびActiveDirectoryRODCで何も作成できなくなります。 ROの部分は読み取り専用を表します。ActiveDirectory管理者と協力して、書き込み可能なドメインコントローラーのホスト名を取得します。

0
Hordie