Проблема

Не удается настроить доверительные отношения с MS AD.

Диагностика

  • Сообщение об ошибке вида:
  • Проверить значение опции dnssec-validation в файле /etc/bind/ipa-options-ext.conf.

Возможная причина: Включена валидация записей DNS. Перейти к решению.

  • Проверить наличие сообщения вида:

    ipa: ERROR: недопустимое "диапазон существует": Уже существует диапазон идентификаторов с тем же именем, но другим SID домена. Диапазон идентификаторов для нового доверенного домена необходимо создать вручную.
    CODE

Возможная причина: Наличие диапазона идентификаторов для домена с тем же именем. Перейти к решению.

  • Проверить корректность разрешения SRV-записи для домена ALD Pro на КД MS AD.

    Для домена ALD Pro с именем aldpro.test:

    C:\> nslookup
> set type=srv
> _ldap._tcp.aldpro.test
> quit
    CODE

    Пример вывода команды в случае корректного разрешения:

  • Проверить корректность разрешения SRV-записи для домена MS AD на КД ALD Pro.

    Для домена MS AD с именем windomain.dom:

    dig SRV _ldap._tcp.windomain.dom
    CODE

    Пример вывода команды в случае корректного разрешения:

    ; <<>> DiG 9.11.5-P4-5.1+deb10u7+ci202204290756+astra1-Debian <<>> SRV _ldap._tcp.windomain.dom
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11153
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 13, ADDITIONAL: 28

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 02426eaf553c15f3486f43e56370fba8d44539ee81a2305e (good)
;; QUESTION SECTION:
;_ldap._tcp.windomain.dom.      IN      SRV

;; ANSWER SECTION:
_ldap._tcp.windomain.dom. 600   IN      SRV     0 100 389 dc01.windomain.dom.
    CODE

Возможная причина: Некорректное разрешение SRV-записей для доменов ALD Pro или MS AD. Перейти к решению.

  • Проверить NETBIOS-имена доменов ALD Pro и MS AD на предмет совпадения.

Возможная причина: Совпадают NetBIOS-имена доменов ALD Pro и MS AD. Перейти к решению.

Возможные причины