Не удается привязать Mac к Active Directory, это не синхронизация времени, что еще может быть не так?

Charlweed

23.08.2023, 20:17

Компьютеры Mac не могут подключиться к нашему серверу Windows Active Directory. Ошибка бесполезна Имя узла не найдено (2000). У клиентов Windows и Samba проблем нет. Все системы в нашей локальной сети используют наш внутренний сервер имен bind9 1:9.16.1-0ubuntu2.10. Active Directory работает на Windows Server 2019

Почти все интернет-решения рекомендуют явно перенастроить сервер AD и клиенты Mac для использования протокола сетевого времени (NTP) и убедиться, что они используют один и тот же сервер времени. Я так делал, проблему не решило.

Многие другие пользователи рекомендуют вообще не привязывать Mac к AD и вместо этого использовать NoMad. Я попробовал NoMadLogin-AD, и это тоже не сработало! Это была большая подсказка. На странице справки для NoMad описано, что NoMad запросил DNS для сервера ldap, и дальнейший поиск в Google показал, что существует аналогичный запрос на раскопки: копать +short -t srv _ldap._tcp.ваш.домен.здесь. Мой результат вернулся как

 0 0 289 мельбурн.ваш.домен.здесь.

Порт LDAP должен быть 389, а не 289.

0 + 0

LDAP

Mac OS X

Рейтинг:0

Server

Charlweed

23.08.2023, 20:17

Решение состояло в том, чтобы исправить значения портов для служебных записей AD нашего DNS.

В нашей конфигурации bind 9 у нас есть 11 специальных файлов «site» Active Directory:

_msdcs.ваш.домен.здесь.hosts
_tcp.e6b6bf1d-0a16-4441-a066-32a59b46b65d.domains._msdcs.ваш.домен.здесь.hosts
_tcp.dc._msdcs.ваш.домен.здесь.hosts
_tcp.Default-First-Site-Name._sites.dc._msdcs.ваш.домен.здесь.hosts
_tcp.Default-First-Site-Name._sites.gc._msdcs.your.domain.here.hosts
_tcp.Default-First-Site-Name._sites.ваш.домен.здесь.hosts
_tcp.gc._msdcs.ваш.домен.здесь.hosts
_tcp.ваш.домен.здесь.hosts
_tcp.pdc._msdcs.ваш.домен.здесь.hosts
_udp.ваш.домен.здесь.hosts

8 из этих файлов имеют записи LDAP SRV, и в нашем случае все они имели неправильный порт LDAP. Я заменил все значения 289 на 389 и перезапустил сервер имен. Теперь результат от копать +short -t srv _ldap._tcp.ваш.домен.здесь является

 0 0 389 мельбурн.ваш.домен.здесь.

И Маки наконец-то могут привязываться. Я не могу объяснить, почему только Mac чувствительны к неправильно настроенному DNS.

Наша конкретная неправильная конфигурация была конкретной ошибкой, но ясно, что DNS может быть проблемой для привязки компьютеров Mac к AD. Так что исследуйте это, когда будете устранять Имя узла не найдено (2000) ошибка.

0 + 0

Admin

Этот вопрос на других языках:

EN: Can't bind Macs to Active Directory, it's not time synchronization, what else could be wrong?

TH: ผูก Macs กับ Active Directory ไม่ได้ ซิงโครไนซ์เวลาไม่ได้ มีอะไรผิดปกติอีกไหม

RO: Nu se pot lega Mac-urile la Active Directory, nu este sincronizare de timp, ce altceva ar putea fi greșit?

RU: Не удается привязать Mac к Active Directory, это не синхронизация времени, что еще может быть не так?

VI: Không thể liên kết máy Mac với Active Directory, đó không phải là đồng bộ hóa thời gian, điều gì khác có thể sai?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.