FreeIPA. Ошибки при установке доверительных отношений (трастов)

• Настройка доверительных отношений согласно инструкции, пункт "Настройка и проверка перенаправления DNS", на этапе "Проверка № 4, работоспособность службы Samba" заканчивается ошибкой вида:
  

  admin@srv-dc:/root$ kinit admin
  Password for admin@FREE.IPA:
  admin@srv-dc/root$ sudo kvno cifs/srv-dc.free.ipa@FREE.IPA
  cifs/srv-dc.free.ipa@FREE.IPA: kvno = 1
  admin@srv-dc:/root$ sudo smbclient -k -L srv-dc.free.ipa
  lp_load_ex: changing to config backend registry
  session setup failed: NT_STATUS_ACCESS_DENIED

  CODE

• Выполнить последовательность действий:
  1. Настроить в AD сетевую папку и доступ пользователю AD. 
  2. Зайти под учетной записью пользователя AD. 
  3. Подключить сетевую папку AD через Меню "Пуск" — Менеджер файлов — Сеть — Создать сетевое место. 
  4. Зайти в сетевую папку.

Результатом будет медленная реакция интерфейса после щелчка мышкой по папке в менеджере файлов.

• Установка доверительных отношений командой:

  sudo ipa trust-add --type=ad ad.win.loc --admin Administrator --password --two-way=true --external=true

  CODE

  или:

  sudo ipa trust-add --type=ad ad.win.loc --admin Administrator --password

  CODE

  завершается ошибкой вида:

  CIFS server communication error: code "3221225581", message "The attemted logon is invalid. This is either due to a bad username or authentication information." (both may be "None")

  CODE

• Выполнить команду:
  

  sudo ipa trust-add

  CODE

  и проверить вывод на наличие сообщения вида:

  Cannot find specified domain or server name

  CODE

• Авторизоваться в домене FreeIPA с использованием имени пользователя AD, после чего выполнить команду:
  

  id <имя_доменного_пользователя>

  CODE

  Убедиться, что команда выполняется продолжительно время (дольше обычного).

• Проверить:

  • в журналах и в статусе службы sssd наличие сообщения вида:

    Unable to initialize STARTTLS session
    Can`t contact LDAP server
    Failed to get keytab

    CODE

  • работу поиска пользователей домена.
    При выполнении команды:

    id <пользователь>@<домен>

    CODE

    выводится сообщение о том, что пользователь не найден.

  • невозможность входа пользователей доверенного домена на реплике и ее клиентах.

• Выполнить команду под учетной записью доменного администратора:

  getent passwd <Пользователь_AD>

  CODE

• Проверить при установке доверительных отношений с доменом AD с помощью команды:

  sudo ipa trust-add --type=ad ad.domain --admin Администратор –password

  CODE

  наличие сообщения вида:

  Пароль от администратора домена Active Directory:
  ipa: ERROR: произошла внутренняя ошибка

  CODE

• Проверить при установке двусторонних доверительных отношений:

  ipa trust-add --type=ad win.lan --two-way=true --admin=Administrator --password

  CODE

   наличие сообщения вида:

  ipa: ERROR: AD DC was unable to reach any IPA domain controller. Most likely it is a DNS or firewall issue

  CODE

• Выполнить команду:

  ipa trust-add

  CODE

  и проверить в выводе наличие сообщения вида:

  ipa: ERROR: CIFS server communication error: code "3221225506", message "
  {Access Denied}

  CODE