自从CentOS 7出来以后,连接到AD的机器就变得轻而易举了。 它只是工作,如果没有,从错误信息中的原因是显而易见的。 不过,现在我卡住了:
# realm join [email protected] example.net -v * Resolving: _ldap._tcp.example.net * Performing LDAP DSE lookup on: 192.168.1.50 * Successfully discovered: example.net Password for [email protected]: * Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/bin/net * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.R9517Y -U [email protected] ads join example.net Enter [email protected]'s password: Failed to join domain: failed to join domain 'example.net' over rpc: The directory service was unable to allocate a relative identifier. ! Joining the domain example.net failed realm: Couldn't join realm: Joining the domain example.net failed 看来罪魁祸首是这个directory service was unable to allocate a relative identifier错误; 但是我能find的任何东西都与join后连接到DC有关。
域控制器是Windows 2016上的192.168.1.50
有趣的(并不奇怪,给这个域名成功发现), realm discover是成功的:
# realm discover example.net example.net type: kerberos realm-name: EXAMPLE.NET domain-name: example.net configured: no server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common-tools
此外,如果我使用错误的密码或使用其他帐户没有join权限 – 我得到我期望的错误。
赦免,因为我不是在各种Linux发行版超级经验,但从Active Directory方面,这听起来像你可能有你的RID主的问题。 如果池已经耗尽而没有补充,可能是由于某些原因,其他域控制器无法与其通信。
发生了什么事情是RID主机一次为新对象分配一个(我认为)500个RID的池,当这个RID到达不到一半的新请求并且分配一个新的RID块时。
我会build议尝试一个完整的dcdiag,并通过它查找任何错误(或要求您的ADpipe理员这样做)作为一个开始的措施。