我有一个隔离网络,在其中构建了一个 vfiler。这个网络的要点是它是一个非路由的“测试”网络。
但是,需要通过域级帐户对文件服务器进行 LDAP/Kerberos 和 CIFS 访问。
因此我们部署了只读域控制器。
要将 Windows 机器加入 RODC,我们需要:
- 手动创建机器帐户。
- 加入域,并在客户端上指定机器账户密码。
我通过谷歌搜索找到了:https://kb.netapp.com/support/index?page=content&id=1012918
建议是:首先手动将文件管理器指向可写的 DC。
如果可以避免,我宁愿不这样做 - 我故意没有在这个网络上设置可写的 DC。更重要的是 - 我的 vfiler 位于 ipspace 上,所以我甚至无法暂时“跳转到”具有正确访问权限的网络。(我想这有点道理,但即便如此......)
有人能建议我如何实现这一点吗?我假设我可能需要从我的 DC 中提取一些信息并将其传输过来,例如 servicePrincipal。或者可能只是在某处手动“设置”我的 CIFS 密码。
答案1
您可以通过向 IPSpace 添加可路由接口来暂时返回 - 然后您可以加入域,然后从 IPSpace 中删除该接口。
答案2
最后我决定暂时打开防火墙。其他选择可能是配置一个新的虚拟接口,将其暂时添加到 IP 空间。这本来可以行得通,但在我的环境中行不通(我已经在使用需要移动的 VLAN/接口)。
但是,一旦您有权访问可写的 DC - 上面的文章就不完全正确了。
你需要;
- 使用以下方式设置 prefdc
cifs prefdc add <DC_IP> - 设置 ldap 服务器
setting options.ldap.preferred(通常与 DC 相同)。 - 运行域加入并创建机器帐户。
将 prefdc 和首选 LDAP 改回原始状态。运行cifs resetdc以强制执行。
预计No Trusted Logon Servers Available ,Client not found in Kerberos database因为您当地的 RODC 不会复制正确的详细信息。
您可能还需要调整计算机帐户以使其成为组的成员,以便它完全复制。RODC 的部分要点是它们没有完整的数据库,并且忽略了计算机帐户中的一些共享机密。