Проблема

Не удается настроить доверительные отношения с MS AD.

Диагностика

  • Проверить в файле /etc/bind/ipa-options-ext.conf значение опции dnssec-validation.

Возможная причина: Включена валидация записей DNS. Перейти к решению.

  • На КД MS AD выполнить команду вида:
    C:\Users\Administrator>ksetup /getenctypeattr ald.test
    где ald.test — имя доверенного домена ALD Pro.
    Пример вывода
    Типы шифрования для домена ald.test: RC4-HMAC-MD5 AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96

Возможная причина: Включены устаревшие протоколы шифрования . Перейти к решению.

  • При построении доверительных отношений с доменом AD командой:
    ipa -d -v trust-add --type=ad win2.test --admin winadm --password --two-way=true
    возникает ошибка:
    ipa: ERROR: Ошибка обмена данными с сервером CIFS: код "3221225525", сообщение "The object name already exists." (оба значения могут быть "None")
  • Проверить, что уже настроены доверительные отношения с другим доменом, имеющим такое же NetBIOS-имя, как у домена ALD Pro:
    1. Открыть оснастку "Active Directory - Домены и доверия" на контроллере домена Microsoft Active Directory.
    2. Открыть свойства домена и перейти во вкладку Отношения и доверия.
    3. Проверить, имеются ли во Входящих и Исходящих отношениях доверие с другим доменом, имеющим такое же NetBIOS-имя, как у домена ALD Pro.

Возможная причина: Конфликт NetBIOS‑имен домена в доверии AD. Перейти к решению.

  • Проверить установку доверительных отношений с доменом MS AD:

    kdestroy -А
kinit admin
ipa -d -v trust-add --type=ad <домен_MS_AD>

    Установка доверительных отношений завершается ошибкой:

    ipa: ERROR: недопустимое "диапазон существует": Уже существует диапазон идентификаторов с тем же именем, но другим SID домена. Диапазон идентификаторов для нового доверенного домена необходимо создать вручную.

Возможная причина: Наличие диапазона идентификаторов для домена с тем же именем. Перейти к решению.

  • Проверить корректность разрешения SRV-записи для домена ALD Pro на контроллере домена MS AD.

    Для домена ALD Pro с именем aldpro.test:

    C:\> nslookup
> set type=srv
> _ldap._tcp.aldpro.test
> quit

    Пример вывода команды в случае корректного разрешения:

  • Проверить корректность разрешения SRV-записи для домена MS AD на контроллере домена ALD Pro.

    Для домена MS AD с именем windomain.dom:

    dig SRV _ldap._tcp.windomain.dom

    Пример вывода команды в случае корректного разрешения:

    ; <<>> DiG 9.11.5-P4-5.1+deb10u7+ci202204290756+astra1-Debian <<>> SRV _ldap._tcp.windomain.dom
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11153
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 13, ADDITIONAL: 28

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 02426eaf553c15f3486f43e56370fba8d44539ee81a2305e (good)
;; QUESTION SECTION:
;_ldap._tcp.windomain.dom.      IN      SRV

;; ANSWER SECTION:
_ldap._tcp.windomain.dom. 600   IN      SRV     0 100 389 dc01.windomain.dom.

Возможная причина: Некорректное разрешение SRV-записей. Перейти к решению.

  • Проверить NetBIOS-имена доменов ALD Pro и MS AD на предмет совпадения.

Возможная причина: Совпадают NetBIOS-имена доменов ALD Pro и MS AD. Перейти к решению.

Возможные причины