根据https://help.apple.com/advancedserveradmin/mac/10.7/#apd52648A71-571A-433C-81A8-2A7792333F22可以使用 Windows 机器加入 Lion Open Directory,使其认为正在加入 Active Directory 域。
然而,我实际上并没有成功完成这项工作。
首先,甚至没有创建 DNS 中的 SRV 记录(在运行 OpenDirectory 的同一 Lion 服务器上)。
一旦我手动添加了该记录,复制真实 Active Directory 域的真实 SRV 记录,Windows 至少可以找到服务器,但实际上无法连接:
DNS was successfully queried for the service location (SRV) resource record used to
locate a domain controller for domain "miranda.pilif.home":
The query was for the SRV record for _ldap._tcp.dc._msdcs.miranda.pilif.home
The following domain controllers were identified by the query:
miranda.pilif.home
However no domain controllers could be contacted.
Common causes of this error include:
- Host (A) or (AAAA) records that map the names of the domain controllers to their IP
addresses are missing or contain incorrect addresses.
- Domain controllers registered in DNS are not connected to the network or are not
running.
不要担心这个陌生的领域——这是一台在家里运行 Lion 的测试 Mac Mini。
看到目前 Lion Server 的文档如此不完整,我倾向于认为我上面链接的文档完全不是事实,并且 Lion 与其前代产品一样不支持扮演 Active Directory 主机角色。
我的假设正确吗?还是我在安装 Lion 时做错了什么?有没有人成功将 Windows 加入 Lion Open Directory?
答案1
我睁大眼睛,将混合环境中的客户端从 Snow Leopard Server 升级到 Lion Server。我知道 Lion 缺乏域支持,Windows 计算机无法成为 Open Directory 的一部分,并且所有 Windows 客户端的 SSO 都将消失(这没什么大不了的,因为我必须以这种方式配置所有 Windows 7 客户端,因为 Samba 缺乏支持,而 Samba 与充当 PDC 的 Snow Leopard Server 捆绑在一起)。
所以,我想,嘿,做一个简单的升级。你会失去 pdc,但谁真的在乎呢?所以,在经历了所谓的“冒险”之后,所有 Windows 机器都失去了在升级前与之前可用的共享上的任何共享连接的能力。我可以从 mac 到服务器使用 smb://,但不能从 Windows 到服务器。我收到的消息类似于资源不可访问...
在与 Apple 支持人员来回沟通了一个多星期后,我仍然没有取得任何进展,但是,作为管理员,我可以使用直接 IP 地址连接到服务器(但不能使用用户帐户 - 即使我让他们成为管理员......我也对此感到好奇)......这是一个线索,表明它与用户帐户和权限有关,在迁移过程中丢失了一些东西。
Lion Server 的配置工具很糟糕,为您提供的选项很少,而且几乎没有关于去哪里或如何解决问题的文档。例如,我无法找到在哪里和/或如何将计算机名称更改为 Windows 用户。没有任何文档。实际上,Windows 支持是每个共享旁边的一个小复选框,询问您是否要与 Windows 客户端共享。工作组名称 - 无处可去,域,无处可去,机器名称,无处可去。啊。可以通过单击服务器图标来调整服务器名称。更改此项只会影响 Mac 客户端,而不会影响 Windows。
最后,苹果代表向我承诺,每个人都在竞争,他们并不希望彼此交谈……而他们这样做简直是个奇迹。我不相信,但是嘿,我想他已经没有什么建议给我了。
在安装了服务器实用程序的新配置的 10.7 盒子上,连接到 Windows 客户端的共享没有任何问题,因此此配置按宣传的那样工作......只是没有升级。
我的下一步是吹掉 OD 并重建它以及共享部分,看看这是否是原因。敬请期待。再过几个小时我就不会回来了。
事后看来,建议... Snow Leopard Server 版本运行良好。不要“升级”。 Lion Server 中提供的工具过于简单,任何实际配置都必须通过命令行完成... Apple 还不知道如何解决问题。如果你想冒险,那就去吧... 只是如果你以意想不到的方式陷入困境,请不要感到惊讶。对我来说,这相当于一周的生产力。
答案2
据我所知,10.7 中的 SMB 组件无法以任何方式充当域控制器,无论是 NT4 样式还是 AD。它所能做的就是充当 SMB2 服务器。
他们在 10.7 中停止了 Samba,因为 Samba 已切换到 GLPv3,这是 Apple 无法或不愿使用的许可证,因此 Apple 编写了自己的最小 SMB 服务器。
就我而言,10.7 Server 简直就是一个笑话,对我来说,使用 Apple 作为后端的时代已经结束了。
答案3
我的假设正确吗?还是我在安装 Lion 时做错了什么?有没有人成功将 Windows 加入 Lion Open Directory?
不太可能,到本文发布时 Lion 才刚推出几天。由于存在严重的不兼容性,我已经不得不劝阻一些用户升级。
至于 Open Directory,关于它到底在做什么的文档很少。加入 AD 域有两种方法:
- 加入 Kerberos 领域,自 2000 年以来,支持 Kerberos 的服务就能够做到这一点。
- 通过所有 Microsoft 挂钩加入 Windows 域,这已经通过 Samba 产品(及其他产品)实现了相当长一段时间。
当要模拟直接 AD 域控制器(这是模拟 Active Directory 所需的),事情就变得复杂得多。我知道有一款商业产品可以做到这一点,还有仍在开发中的 Samba 4 套件。据我所知,这款商业产品大量借鉴了 Samba 4(如果我没记错的话,它有一个 GPL 组件和一个闭源组件)来实现它的功能。
一个早期文档页面显示了 Open Directory 执行其功能的一种方式。虽然不太清楚,但它所讨论的“魔法三角”表明它在 Open Directory 中使用 AD 进行身份验证,并允许使用所有其他 Open Directory 位(无论它们是什么)。
事实上,它根本不清楚它是否正在创建 Active Directory 域。它可能只是使用 PDC 创建 NT4 样式的域,Samba 多年来一直在这样做。这些不需要 DNS 记录。您案例中的域名看起来像是“MIRANDA”或“PILIF”。