Соединение NetApp к домену на Контроллере домена Только для чтения
У меня есть изолированная сеть, в которую я создал vfiler. Точка этой сети - то, что это - не направленная 'тестовая' сеть.
Однако существует потребность в LDAP/Kerberos и доступе CIFS к файловому серверу, с помощью доменных учетных записей уровня.
Таким образом, нам развернули контроллеры домена Только для чтения.
Для соединения поля Windows с RODC мы были бы:
- создайте учетную запись машины вручную.
- присоединитесь к домену и укажите пароль учетной записи машины на клиенте.
Место поиска с помощью Google находит меня: https://kb.netapp.com/support/index? page=content&id=1012918
Где совет: Укажите на файловый сервер на перезаписываемый DC вручную сначала.
Я не сделал бы этого, если я могу избежать его - у меня нет перезаписываемого DCS на этой части сети сознательно. Что еще более важно - мои vfilers находятся на ipspace, таким образом, я не могу даже временно 'перепрыгнуть' к сети с правильным доступом. (Который является видом точки, которую я предполагаю, но несмотря на это...),
Делает у любого есть предложение для того, как я могу выполнить это - я предполагаю, что я, возможно, должен извлечь некоторую информацию из своего DC и передать его, такие как servicePrincipal. Или возможно просто 'набор' мой пароль CIFS вручную где-нибудь.
В конце концов, я временно открыл брандмауэр. Альтернативными вариантами могли быть настройка нового виртуального интерфейса, временное добавление его в пространство IP. Это сработало бы, но не в моей среде (я уже использовал VLAN / интерфейс, который мне нужно было переместить).
Однако, если у вас есть доступ к DC с возможностью записи - статья выше не совсем верна.
Вам необходимо;
- установить prefdc с помощью
cifs prefdc add - set сервер ldap, установив
options.ldap.preferred(обычно это будет то же самое, что и DC). - запустите присоединение к домену и создайте учетную запись компьютера.
Измените prefdc и предпочитаемый LDAP обратно на исходные. Запустите cifs resetdc , чтобы заставить его.
Ожидайте Нет доступных доверенных серверов входа и Клиент не найден в базе данных Kerberos , потому что ваши локальные контроллеры домена только для чтения не реплицировали нужные данные.
Вам также может потребоваться настроить учетную запись компьютера, чтобы она была членом группы, чтобы она полностью реплицировалась. Отчасти смысл контроллеров домена только для чтения заключается в том, что они не имеют полной базы данных и пропускают некоторые общие секреты как часть учетной записи компьютера.
Вы можете временно вернуться назад, добавив маршрутизируемый интерфейс в IPSpace - затем вы можете присоединиться к домену, а затем удалить этот интерфейс из IPSpace.