ALD Pro. Не удается настроить доверительные отношения с MS AD
Проблема
Не удается настроить доверительные отношения с MS AD.
Диагностика
- Проверить в файле
/etc/bind/ipa-options-ext.confзначение опцииdnssec-validation.
Возможная причина: Включена валидация записей DNS. Перейти к решению.
Проверить установку доверительных отношений с доменом MS AD:
kdestroy -А kinit admin ipa -d -v trust-add --type=ad <домен_MS_AD>
Установка доверительных отношений завершается ошибкой:
ipa: ERROR: недопустимое "диапазон существует": Уже существует диапазон идентификаторов с тем же именем, но другим SID домена. Диапазон идентификаторов для нового доверенного домена необходимо создать вручную.
Возможная причина: Наличие диапазона идентификаторов для домена с тем же именем. Перейти к решению.
Проверить корректность разрешения SRV-записи для домена ALD Pro на контроллере домена MS AD.
Для домена ALD Pro с именем
aldpro.test:C:\> nslookup > set type=srv > _ldap._tcp.aldpro.test > quit
Пример вывода команды в случае корректного разрешения:
Проверить корректность разрешения SRV-записи для домена MS AD на контроллере домена ALD Pro.
Возможная причина: Некорректное разрешение SRV-записей. Перейти к решению.
- Проверить NetBIOS-имена доменов ALD Pro и MS AD на предмет совпадения.
Возможная причина: Совпадают NetBIOS-имена доменов ALD Pro и MS AD. Перейти к решению.