有没有人有将 10.5+ 工作站绑定到 2008 活动目录结构的经验。我们在升级之前在测试域中测试了此功能,没有发现任何问题。现在我们已经升级了生产环境,但我们收到了无效的用户名/密码错误。我们正在预先创建机器帐户(就像我们一直做的那样),并且我尝试使用 OU 管理员级别和企业管理员级别权限进行绑定。两者都返回相同的错误。与域的通信似乎正常,因为它正确找到了 DC(DNS 正向和反向都可以),并且它还找到了我预先创建的计算机对象并要求绑定到它。我还尝试删除目录服务信息并尝试从头开始绑定,但没有成功。我为此烦恼了一段时间,需要一些帮助。
更新 3:追溯到可能与 krbtgt 用户有关的问题。因为在计算机对象上执行 changepw 命令时绑定失败。Microsoft 和 Apple 目前正在就此展开合作,一旦找到解决方案,我将更新解决方案。
更新 4:解决此问题的修补程序位于以下答案中。
答案1
如果您遇到此问题,请安装此修补程序。这是因为之前在您的域中执行了权威恢复。这解决了我们的问题。
答案2
我目前不在家,所以没法查看我的 Mac。不过我相信您正在寻找“目录实用程序”,它将安装在“应用程序”->“实用程序”中。上次我必须进行此配置时,我是在 10.4 中进行的,但那时一切正常。
不过,我遇到的一个问题是,有时 Windows 动态 DNS 会为同一台机器获取两条记录,然后事情就会出错。您可以通过在终端中运行“hostname”来检查是否获取了多个名称。
另一个问题是时间同步。AD 使用 kerberos,DC 和客户端之间的时间偏差不能超过 5 分钟。为了排除这种情况,我至少应该将 DC 设置为时间服务器,作为测试的一部分。
接下来尝试创建一个具有不同名称的新 AD 对象。有时机器人这样做会导致问题。我发现,有了正确的组成员身份(我忘了,可能是“高级用户”),我就不需要在 AD 中预先设置我的机器。我稍后会将它们移动到正确的 OU。
答案3
您可能还想查看 ServerFault 上的其他问题以获取一些提示:
- 在 Windows Active Directory 域中实现 Mac 的最简单方法是什么
- 基于 Active Directory 的网络中的 Mac OS X 用户
- 如何将 Mac 添加到 Windows Active Directory
- 装有 OS X 10.5 Leopard 的 Mac 能否通过 Windows 2008 域进行身份验证
您是在绑定期间还是绑定后收到错误?Console.app 中输出了什么?