配额不足,无法完成此操作,网络广告加入

tag-icon tag-icon active-directory samba kerberos
配额不足,无法完成此操作,网络广告加入

我正在尝试在企业业务环境中加入 Xubuntu 16.04 中的 Active Directory,因此我将使用 MY.EXAMPLE.CORP 更改我的 REALM 的名称。我的问题是:当我运行

net ads join -U Administrator

它出现:

Failed to join domain: failed to join domain 'MY.EXAMPLE.CORP' over rpc: Insufficient quota exists to complete the operation.

我尝试了 kinit 和 klist 命令,结果是:

Tickect cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]

Valid starting      Expires         Service principal
24/11/16 10:18:49   24/11/16 20:18:49   krbgt/[email protected]
    renew until   25/11/16 10:18:25

这意味着 Kerberos 运行良好,这似乎是 Samba 的问题,但我的 smb.conf 文件出了什么问题,或者我是否缺少了其他东西。我尝试了我读到的所有方法,但仍然不起作用

这些是我在每个文件中所做的更改。krb5.conf、smb.conf、nsswitch.conf

krb5配置文件

[libdefaults]
    default_realm = MY.DOMAIN.CORP

....

[realms]
DOMAIN = {
        kdc = SERVER01.MY.DOMAIN.CORP
        kdc = SERVER02.MY.DOMAIN.CORP
        admin_server = SERVER01.MY.DOMAIN.CORP SERVER.MY.DOMAIN.CORP
        default_domain = MY.DOMAIN.CORP
    }

....


[domain_realm]
    SERVER01.MY.DOMAIN.CORP = MY.DOMAIN.CORP
    SERVER02.MY.DOMAIN.CORP = MY.DOMAIN.CORP
    .MY.DOMAIN.CORP = MY.DOMAIN.CORP
    MY.DOMAIN.CORP = MY.DOMAIN.CORP

smb配置文件

[global]
    workgroup = MYWORKGROUP
    realm = MY.DOMAIN.CORP
    security = ADS
    encrypt passwords = yes
    password server = SERVER01.MY.DOMAIN.CORP SERVER02.MYDOMAIN.CORP
    idmap uid = 10000-20000
    idmap gid = 10000-20000
    winbind enum users = yes
    winbind enum groups = yes
    winbind refresh tickets = true
    template homedir = /home/%D/%U
    template shell = /bin/bash
    winbind use default domain = yes
    restrict anonymous = 2
    winbind offline logon = yes

nsswitch.conf

passwd:         compat winbind
group:          compat winbind
shadow:         compat

以下是我的 .log 文件中的内容:

[2016/11/29 08:13:22.207182,  0] ../source3/auth/auth_domain.c:121(connect_to_domain_password_server)
  connect_to_domain_password_server: unable to open the domain client session to machine SERVER01.MY.DOMAIN.CORP. Error was : NT_STATUS_CANT_ACCESS_DOMAIN_INFO.
[2016/11/29 08:13:22.211148,  0] ../source3/auth/auth_domain.c:121(connect_to_domain_password_server)
  connect_to_domain_password_server: unable to open the domain client session to machine SERVER01.MY.DOMAIN.CORP. Error was : NT_STATUS_CANT_ACCESS_DOMAIN_INFO.
[2016/11/29 08:13:22.215292,  0] ../source3/auth/auth_domain.c:121(connect_to_domain_password_server)
  connect_to_domain_password_server: unable to open the domain client session to machine SERVER01.MY.DOMAIN.CORP. Error was : NT_STATUS_CANT_ACCESS_DOMAIN_INFO.
[2016/11/29 08:13:22.215350,  0] ../source3/auth/auth_domain.c:184(domain_client_validate)
  domain_client_validate: Domain password server not available.

答案1

我在 CentOS 7 加入 Windows 2012 R2 域时遇到了非常类似的问题。

  • 其中一个 AD 服务器上的时间不正确。因此我通过更正时区并从 NTP 服务器同步时间来解决这个问题。
  • 另外,我用来将机器加入域的帐户也已过期。

答案2

就我而言,这是因为未指定 OU,并且该帐户在其他地方没有适当的权限,解释如下:http://atherbeg.com/2017/02/23/error-insufficient-quota-exists-to-complete-the-operation/

答案3

在我的例子中,用户已达到可以加入的默认计算机的最大数量 10 台,请参见 -https://support.microsoft.com/en-gb/help/243327/default-limit-to-number-of-workstations-a-user-can-join-to-the-domain

相关内容