我们有三台 MacOS 机器,都运行 10.4.x,绑定到我们的 Active Directory 网络。该域在单个子网 (192.168.1.0/24) 上有两个 DC。其中一个 DC(次要的,不具备 5 个 FSMO 角色中的任何一个)当前处于脱机状态。它是物理关闭的,因为它的启动卷被软管。
由于辅助 DC 下线,三台 Mac 中的两台无法进行标准的 Active-Directory 身份验证。我无法以 AD 用户身份登录其中任何一个,我无法在 UAC 提示中使用 AD 凭据,我什至无法运行“目录访问”——它启动但随后变得无响应,我需要强制退出以关闭它。
但是,我可以使用“Kerberos”GUI 实用程序为 AD 用户获取 Kerberos 票证。当我在其中一台有问题的 Mac 上运行“dsconfig ad -show”时,我在“首选域控制器”行中看到了主 DC(现在实际运行的 DC)。
我们所有的 Windows 机器(运行 XP Pro)都可以很好地针对 AD 进行身份验证——我认为这可以排除任何复制问题。
只是想知道接下来我能做些什么来解决这个问题。
8 月 7 日星期五下午更新
两台机器都刚刚停止遇到 AD 问题。我确实重新启动了它们,但我之前用其中一个做过两次,但无济于事。所以我想这个问题在这一点上已经变成了学术问题。仍然有兴趣了解其他人如何解决此问题。
无法运行目录访问是一个问题。你绝对不应该看到那个。多年来,我遇到了许多关于 mac 和 AD 的问题,但我从未见过。我建议取消绑定并重新绑定它们。由于您无法使用目录实用程序,您将不得不在终端中使用 DSCONFIGAD 命令。可以man 或者查看下面的文章:(网上有很多解释的)
http://www.peachpit.com/articles/article.aspx?p=1246089
使用该文章中的说明取消绑定和绑定,看看是否可以修复它。从理论上讲,丢失 DC 不应该影响它的连接性,但是我看到 Mac 会哭泣并且 Open Directory Master 出现故障,即使它应该能够连接到副本,所以我并不惊讶它会生气。您可能还想检查您的 DNS。如果死掉的 DC 仍然可以通过在您的 DOMAIN 上执行 NSLOOKUP 来解决,那么我敢打赌 mac 可能正在尝试命中它。当 DC 死亡时,它可能不像 Windows 客户端那样有弹性。