2009年8月10日

[samba-jp:20790]ADのDCが他のセグメントにある時のドメイン参加方法

太田@NECです。

ADのDCが他のセグメントにあって、そこにSambaを参加させるとき、
そのAD DCがDNSもWINSもサポートしていない場合どうしたらいいか、
というご相談です。


今、あるADのDCが別セグメントにあります。Sambaを security = ads

にして、/etc/krb5.confやsmb.conf等を適切に設定すれば、普通なら
ドメインに参加できるはずです。手元の評価環境でもうまくいっています。

ただ、本番環境だと、 net ads testjoin はうまくいきますが、実際に
net ads joinしてみると、

Failed to join domain: failed to set machine spn: Constraint violation

というエラーが出てjoinに失敗します。これは、

http://www.mail-archive.com/samba@xxxxx/msg97754.html

のスレッドで、

http://www.mail-archive.com/samba@xxxxx/msg97844.html

で言及されているように、ADに対してDNS名の登録権限がないからではないかと
思っています。

#なお http://www.mail-archive.com/samba@;xxxxx/msg97855.html は嘘です。
#そんなパラメータないです。

その場合、 security = domain にしろと言うことですが、
ADのDCが別セグメントなので、 net rpc testjoin すると

Join to domain 'XXX' is not valid: NT_STATUS_UNSUCCESSFUL

となります。この時点で net lookup dc では IPアドレスが帰っては来るんですが。

lmhostsは設定してみましたが、net rpc ではlmhostsを見に行かないので、
意味がありませんでした(straceで調べてみました)。

さて、何かいい方法はあるでしょうか。


投稿者 xml-rpc : 2009年8月10日 16:11
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/87468
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。