読み取り専用ドメインコントローラー上のドメインへのNetAppの参加
分離されたネットワークがあり、その中にvfilerを構築しました。このネットワークのポイントは、ルーティングされていない「テスト」ネットワークであるということです。
ただし、ドメインレベルのアカウントを介したファイラーへのLDAP/KerberosおよびCIFSアクセスが必要です。
したがって、読み取り専用ドメインコントローラーが展開されています。
WindowsボックスをRODCに参加させるには、次のようにします。
- 手作業でマシンアカウントを作成します。
- ドメインに参加し、クライアントでマシンアカウントのパスワードを指定します。
グーグルのスポットが私を見つけます: https://kb.netapp.com/support/index?page=content&id=1012918
アドバイスは次のとおりです。最初に手動で書き込み可能なDCにファイラーを向けます。
私はそれを避けることができればそれをしたくありません-私は意図的にネットワークのこの部分に書き込み可能なDCを持っていません。さらに重要なのは、vfilerがipspaceにあるため、適切なアクセス権を持つネットワークに一時的に「ジャンプ」することさえできないことです。 (これは私が推測するポイントの一種ですが、それでも...)
誰かが私がこれを達成する方法についての提案を持っていますか?私はDCからいくつかの情報を抽出し、servicePrincipalなどの情報を転送する必要があるかもしれないと思います。 '私のCIFSパスワードを手動でどこかに。
結局、一時的にファイアウォールを開いて行きました。別のオプションは、新しい仮想インターフェイスを構成し、それを一時的にIPスペースに追加することでした。それはうまくいきましたが、私の環境ではうまくいきませんでした(私はすでに移動する必要があるVLAN /インターフェースを使用していました)。
ただし、書き込み可能なDCにアクセスできるようになると、上記の記事は完全に正しくありません。
必要がある;
- prefdcを
cifs prefdc add <DC_IP>で設定します setting options.ldap.preferredでLDAPサーバーを設定します(通常、これはDCと同じになります)。- ドメイン結合を実行し、マシンアカウントを作成します。
Prefdcと優先LDAPを元に戻します。 cifs resetdcを実行して強制します。
ローカルRODCが正しい詳細を複製していないため、No Trusted Logon Servers AvailableとClient not found in Kerberos databaseを期待してください。
また、完全に複製されるように、コンピューターアカウントをグループのメンバーになるように調整する必要がある場合もあります。 RODCのポイントの一部は、完全なデータベースがなく、マシンアカウントの一部として共有シークレットの一部が省略されていることです。
ルーティング可能なインターフェイスをIPSpaceに追加することで、一時的に戻ることができます。その後、ドメインに参加して、そのインターフェイスをIPSpaceから削除できます。