我们有三台 MacOS 机器,均运行 10.4.x,绑定到我们的 Active Directory 网络。该域在单个子网 (192.168.1.0/24) 上有两个 DC。其中一个 DC(辅助 DC,不承担 5 个 FSMO 角色中的任何一个)当前处于离线状态。由于其启动卷已关闭,因此它已物理关闭。
自从辅助 DC 脱机以来,三台 Mac 中的两台无法进行标准的 Active-Directory 身份验证。我无法以 AD 用户身份登录其中任何一台,无法在 UAC 提示符中使用 AD 凭据,甚至无法运行“目录访问”——它启动后就变得没有响应,我需要强制退出才能关闭它。
但是,我可以使用“Kerberos”GUI 实用程序为 AD 用户获取 Kerberos 票证。当我在其中一台有问题的 Mac 上运行“dsconfig ad -show”时,我在“首选域控制器”行中看到了主 DC(当前实际正在运行的 DC)。
并且我们所有的 Windows 机器(运行 XP Pro)都可以通过 AD 顺利地进行身份验证 —— 我认为这可以排除任何复制问题。
我只是想知道下一步该做什么来解决这个问题。
8月7日周五下午更新
两台机器都不再出现 AD 问题。我确实重启了两台机器,但我之前对其中一台机器重启过两次,但无济于事。所以我想这个问题到现在已经变得很学术了。仍然有兴趣听听其他人如何解决这个问题。
答案1
无法运行目录访问是一个问题。您绝对不应该看到这种情况。多年来,我遇到过许多与 Mac 和 AD 相关的问题,但从未见过这种情况。我建议解除绑定并重新绑定它们。由于您无法使用目录实用程序,因此您必须在终端中使用 DSCONFIGAD 命令。您可以手动操作它或查看以下文章:(网上有很多文章对此进行了解释)
http://www.peachpit.com/articles/article.aspx?p=1246089
按照该文章中的说明解除绑定并绑定,看看是否能解决问题。理论上,丢失 DC 不应该影响其连接性,但是我见过 Mac 在 Open Directory Master 发生故障时会崩溃,尽管它应该能够连接到副本,所以我并不惊讶它会崩溃。您可能还需要检查您的 DNS。如果仍然可以通过在您的域上执行 NSLOOKUP 来解决死机 DC,那么我敢打赌 Mac 可能会尝试访问它。当 DC 死机时,它可能不像 Windows 客户端那样有弹性。