我已经配置了 Fedora 11 安装以加入我们的域。它似乎已成功加入(尽管它报告 DNS 更新失败),但当我尝试访问 \\fedoraserver.test.mycompany.com 时,系统提示我输入密码。因此,我输入 adminuser 和密码,但失败了,因此我尝试test.mycompany.com\adminuser
,但仍然失败。我遗漏了什么?
编辑(更新于 2009/9/1):我现在可以连接到机器并查看其上的共享(请参阅我对 djhowell 的回答的回复),但当我尝试连接时,出现错误提示The network path was not found
。我检查了 Fedora 计算机上我所连接的计算机的日志条目(/var/log/samba/log.ComputerX
),内容如下:
[2009/09/01 12:02:46, 1] libads/cldap.c:recv_cldap_netlogon(157)
no reply received to cldap netlogon
[2009/09/01 12:02:46, 1] libads/ldap.c:ads_find_dc(417)
ads_find_dc: failed to find a valid DC on our site (Default-First-Site-Name), trying to find another DC
截至 2009 年 9 月 1 日的配置文件:
smb.conf:
[global]
Workgroup = TEST
realm = TEST.MYCOMPANY.COM
password server = DC.TEST.MYCOMPANY.COM
security = DOMAIN
server string = Test Samba Server
log file = /var/log/samba/log.%m
max log size = 50
idmap uid = 15000-20000
idmap gid = 15000-20000
windbind use default domain = yes
cups options = raw
client use spnego = no
server signing = auto
client signing = auto
[share]
comment = Test Share
path = /mnt/storage1
valid users = adminuser
admin users = adminuser
read list = adminuser
write list = adminuser
read only = No
我还将 krb5.conf 文件设置为如下所示:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = test.mycompany.com
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
[realms]
TEST.MYCOMPANY.COM = {
kdc = dc.test.mycompany.com
admin_server = dc.test.mycompany.com
default_domain = test.mycompany.com
}
[domain_realm]
dc.test.mycompany.com = test.mycompany.com
.dc.test.mycompany.com = test.mycompany.com
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
我意识到其中可能存在问题EXAMPLE.COM
,但是如果我将其更改为,TEST.MYCOMPANY.COM
则它将无法通过预身份验证失败而加入域。自 2009 年 9 月 1 日起,这种情况不再存在。
答案1
从 Linux 机器尝试:
$ kinit your_username
并输入您的密码。然后输入:
$ klist
看看您是否有有效的 Kerberos 票。
在我的 krb5.conf 文件中,我的 realms 部分没有任何端口号。此外,在 domain_realm 部分,我有类似以下内容:
MY-DC1.COMPANY.COM = COMPANY.COM
.MY-DC1.COMPANY.COM = COMPANY.COM
尝试将这些行的左侧更改为直接指向您要进行身份验证的域控制器。
答案2
抱歉回复迟了,但也许我可以帮助遇到 DNS 问题的人。我通过添加从完全限定域名到域控制器地址的映射来解决 DNS 问题,如下所示:
域名:herazio.com DC:HER-PDC
/etc/hosts 文件:HER-PDC.herazio.com 192.50.2.2
幸运的是,这解决了我的 DNS 问题。
希望对您有用。
答案3
我认为 DNS 更新失败是您的线索 - Windows/Linux(或 Unix)互操作性绝不像有时宣传的那样无缝。确保您的其他机器可以解析新机器的名称到 IP 和 IP 到名称,如果不能,请添加适当的 DNS 记录。然后尝试一下,看看会发生什么。
还值得检查新盒子的 IP 配置以确保其具有正确的设置。