OSX10.5および10.4をActiveDirectory2008にバインドできません
10.5以上のワークステーションを2008ActiveDirectory構造にバインドした経験はあります。アップグレードする前にテストドメインでこの機能をテストしましたが、問題はありませんでした。本番環境をアップグレードしたので、無効なユーザー名/パスワードエラーが発生します。私たちは(いつものように)マシンアカウントを事前に作成しており、OU管理者レベルとエンタープライズ管理者レベルの権限でバインドを試みました。両方から同じエラーが返されます。ドメインへの通信は機能しているようです。DCが適切に検出され(DNSの順方向と逆方向は問題ありません)、事前に作成されたコンピューターオブジェクトも検出され、それにバインドするように求められます。Iまた、ディレクトリサービス情報を削除しようとしましたが、運が悪かったので最初からバインドしようとしました。しばらくの間、これに頭を悩ませていたので、助けを借りることができました。
更新3:krbtgtユーザーの問題の可能性にさかのぼります。コンピュータオブジェクトでchangepwコマンドを実行すると、バインドが失敗するため。 MicrosoftとAppleは現在これに取り組んでおり、解決策が見つかったら更新します。
更新4:この問題を修正するための修正プログラムは以下の回答にあります。
この問題が発生している場合は、この修正プログラムをインストールしてください。これは、以前にドメインで権限のある復元を実行したことが原因です。これで問題が解決しました。
私は現在家にいないので、Macを見ることができません。ただし、「アプリケーション」->「ユーティリティ」にインストールされる「ディレクトリユーティリティ」を探していると思います。前回この設定をしなければならなかったときは10.4でやりましたが、それでもうまくいきました。
私が遭遇した問題の1つは、WindowsのダイナミックDNSが同じマシンに対して2つのレコードを取得し、問題が発生する場合があることです。ターミナルで「hostname」を実行し、複数の名前を取得しているかどうかを確認することで、これを確認できます。
もう1つの問題は時間同期です。 ADはKerberosを使用し、DCとクライアント間で時間は5分を超えてドリフトすることはできません。少なくともこれを除外するためのテストの一部として、DCをタイムサーバーとして設定します。
次に、別の名前で新しいADオブジェクトを作成してみます。それを行うボットが問題を引き起こすことがありました。適切なグループメンバーシップ(ttは私の心を滑らせている、おそらく「パワーユーザー」)があれば、ADでマシンを事前にステージングする必要がないことがわかりました。後でそれらを右のOUに移動します。
いくつかのヒントについては、ServerFaultでこれらの他の質問も確認することをお勧めします。
- Windows Active DirectoryドメインにMacを実装する最も簡単な方法は何ですか
- ActiveDirectoryベースのネットワークのMacOS Xユーザー
- MacをWindows Active Directoryに追加する方法
- OS X 10.5Leopardを搭載したMacはWindows2008ドメインで認証できますか
バインド中またはバインド後にエラーが発生しますか? Console.appで何が吐き出されていますか?