С тех пор, как вышла CentOS 7, присоединение машины к AD стало легким делом. Он просто работает, а если нет, причина очевидна из сообщения об ошибке. Однако теперь я застрял:
# realm join --user=felix@example.net example.net -v
* Resolving: _ldap._tcp.example.net
* Performing LDAP DSE lookup on: 192.168.1.50
* Successfully discovered: example.net
Password for felix@example.net:
* Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/bin/net
* LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.R9517Y -U felix@example.net ads join example.net
Enter felix@example.net's password:
Failed to join domain: failed to join domain 'example.net' over rpc: The directory service was unable to allocate a relative identifier.
! Joining the domain example.net failed
realm: Couldn't join realm: Joining the domain example.net failed
Похоже, что причина в том, что служба каталогов не смогла выделить относительный идентификатор
, ошибка; но все, что я могу найти, относится к подключению к DC после присоединения .
Контроллер домена - это Windows 2016 на 192.168.1.50
Интересно (и не удивительно, если этот домен был успешно обнаружен), обнаружение области
прошло успешно:
# realm discover example.net
example.net
type: kerberos
realm-name: EXAMPLE.NET
domain-name: example.net
configured: no
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools
Кроме того, если я использую неправильный пароль или использую другую учетную запись, у которой нет прав на присоединение, я получаю ожидаемую ошибку.
Простите, потому что у меня нет большого опыта работы с различными дистрибутивами Linux, но со стороны Active Directory это звучит так, как будто у вас могут быть проблемы с вашим RID Master. Если пул исчерпан и не пополняется, возможно, другие контроллеры домена не могут связаться с ним по какой-либо причине.
Под капотом происходит то, что мастер RID выделяет пул (я думаю) из 500 RID за раз для новых объектов, и когда это становится меньше половины, делается новый запрос и назначается новый блок RID. .
В качестве начальной меры я бы порекомендовал попробовать полный dcdiag и просмотреть его на предмет ошибок (или попросить об этом вашего администратора AD).