我有一个孤立的networking,我已经build立了一个vfiler。 这个networking的重点是它是一个非路由“testing”networking。
但是,需要通过域级帐户对文件pipe理器进行LDAP / Kerberos和CIFS访问。
所以我们有部署只读域控制器。
要将Windows盒子joinRODC,我们将:
一个谷歌search发现我: https ://kb.netapp.com/support/index?page = content & id =1012918
build议如下:首先手动将文件pipe理器指向可写入的DC。
我宁愿不这样做,如果我能避免它 – 我没有故意在这个networking上的可写DC。 更重要的是 – 我的虚拟现实是在一个空间,所以我甚至不能暂时“跳过”到正确的访问networking。 (这是我猜想的点,但即使如此…)
有没有人有一个build议,我怎么能做到这一点 – 我假设我可能需要从我的DC提取一些信息,并将其传递,如servicePrincipal。 或者也许只是在某处手动“设置”我的CIFS密码。
您可以通过向IPSpace添加可路由接口来临时跳回,然后您可以join域,然后从IPSpace中删除该接口。
最后,我暂时打开防火墙。 备选scheme可能是configuration一个新的虚拟接口,将其临时添加到IP空间。 这将工作,但不是在我的环境(我已经使用的VLAN /接口,我将需要移动)。
但是,一旦你访问了一个可写的DC – 上面的文章是不正确的。
你需要;
cifs prefdc add <DC_IP>设置cifs prefdc add <DC_IP> setting options.ldap.preferred (通常,这将与DC相同)。 将prefdc和首选LDAP更改回原始。 运行cifs resetdc强制它。
预计No Trusted Logon Servers Available并且Client not found in Kerberos database因为您的本地RODC不会复制正确的详细信息。
您可能还需要调整计算机帐户以成为组的成员,以便完全复制。 RODC的部分重点在于它们没有完整的数据库,并且在机器帐户中省略了一些共享机密。