我正在尝试将 Ubuntu 12.04 服务器加入 Active Directory。我安装了samba,并kb5-user在 AD 中创建了一个机器帐户,并做了:
> net ads testjoin
Join is OK
到目前为止,一切都很好。然后我遇到了一个问题:
> sudo net join -U myuser
Failed to join domain: failed to set machine spn: Constraint violation
我没有权限修改 Active Directory 服务器上的任何内容,因为我不是管理员。有什么办法解决这个错误吗?
我知道这篇文章很旧,但我遇到了同样的问题,这是我发现的。如果您尝试将计算机添加到域中,但您没有使用“域管理员”帐户。委托的账户权限需要至少包括以下内容:
-这个对象和所有后代
•创建计算机对象
•删除计算机对象
-后代计算机对象
•阅读所有属性
•写入所有属性
•更改密码
•重设密码
•验证写入 DNS 主机名
•验证写入服务主体
希望有帮助!
我也遇到了同样的问题,winbindd 根本无法启动。该条目已经在 /etc/hosts 中,但我需要更改 /etc/nsswitch.conf 并更改为顺序,以便“文件”排在第一位。
主机:mdns4_minimal 文件 nis dns mdns4 myhostname
至
主机:文件 mdns4_minimal nis dns mdns4 myhostname
在我们的生产 Solaris samba 升级期间遇到此错误并同时移动到不同的 AD 域。我们已经删除了旧域中的对象,但没有告诉 samba 离开旧域。该解决方案正在尝试“网络广告离开”,即使它说“无法离开域:无法连接到 AD:无法联系请求领域的任何 KDC”。但是,它一定已经清除了 samba 中的某些内容,然后我们就可以加入新域了。
从 samba 3 升级到 samba 4 时,有些人可能会发现一些有用的注意事项:
在 nsswitch 中为 passwd 使用 winbind 导致更改密码时出现一些问题,并出现此错误“在 /etc/nsswitch.conf 中检测到不支持的配置”
使用本地 Unix 帐户和 samba 用户映射,我们不需要在 nsswitch 中为 passwd 或组(或任何地方)使用 winbind。事实上,如果我们在 nsswitch 中使用 winbind,我们必须在 /etc/system 中添加“set ngroups_max =”(并重新启动),否则 samba 会在枚举超过 16 个组时出现恐慌和核心转储。如果它枚举的组多于 ,它也会恐慌。
使用非 fqdn 主机名跨域访问 samba 共享将失败并返回 NT_STATUS_NO_SUCH_USER。解决方案是在文件之后和 nsswitch 中的 dns 之前为主机添加 [NOTFOUND=continue]。即“主机:文件[NOTFOUND =继续] dns”
这些可能很少见,但我想我会分享我们的经历。
我能够通过在尝试加入之前为主机添加一个 DNS 条目来解决这个问题
遇到同样的问题...需要在 /etc/hosts 中添加一个条目。
所以第一个条目需要是 IP,第二个条目必须是您要加入的域的完全限定域名,其余的可以按任何顺序排列。
我在尝试设置具有 sssd 身份验证的机器时遇到了这个问题。对于我的生活,我无法让它工作。我使用的是域管理员的凭据,而且我使用的是我编写的脚本,该脚本已经可以在十几台主机上运行。
所以我登录到我的域服务器,并细读层次结构以查找我的机器名称的实例。我删除了它们(有些条目看起来很不寻常,比如“host-N55A1B”,我也删除了它们),然后回到 Linux 并重试 kinit。
工作了。
即使加入用户在 AD 端具有域级完全权限,我也遇到了同样的错误。解决方案是取消选中加入用户的 AD 端用户属性中的“不需要 Kerberos 预身份验证”。