При попытке входа в учетную запись доменного пользователя компьютер выдаёт «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» и никаких вариантов. Ладно если так произошло на одном каком-то компьютерах, а ведь может случиться так что это произошло на всех компьютерах домена одновременно! Вот это атас!!! Почему так происходит:
Проблема в следующем: при введении компьютера в домен не синхронизируется время, из-за этого выходят ошибки: — Часы данного сервера не синхронизированы с часами основного контроллера домена, при открытии файловой шары по имени компьютера (по IP всё работает). — Синхронизация не выполнена поскольку нет доступных данных о времени, при выполнении команды w32tm /resync /rediscover на клиентской машине — Нет доступа к компьютеру. Ошибка: Отказано в доступе. При попытке открыть управление локалюными пользователями и группами удаленно через консоль mmc. Нужно выполнить на…
А теперь к полезному: сейчас я расскажу как поднять контроллер домена на Linux дистрибутиве — Sernet. В отличие от Novell/SUSE Excellent Samba4 Appliance, установка которого описана тут, этот работает у меня без глюков! Тьфу-тьфу-тьфу!!! Итак,… 1. Качай дистрибутив тут. 2. Устанавливаем. a. Если устанавливаете на MS Hyper-V, то при автоматической установке возникнут проблемы. Избавиться от них можно так: SerNet Samba4 и Hyper-V b. Рекомендую устанавливать через Advanced options -> Expert Install. На непонятные вопросы отвечать просто нажатием Enter. c. Настройку сети…
Включить сетевое обнаружение и общий доступ к файлам Active Directory можно следующим образом: Настраиваем правила для Firewall:
Не применяются групповые политики Active Directory — мне эта тема много парила мозг. Вылазила куча ошибок и невнятных объяснений. Я облазил целую кучу форумов, перечитал много статей. И везде слишком заумные решения, что даже не хотелось пытаться это применить, т.к. всеравно я очень сомневался в их результативности. Оказалось всё как всегда гениально просто:
Через стандртые средства управления групповыми политиками Microsoft невозможно изменить политики паролей, и делается это только на сервере с Samba4 (или через SSH). Поэтому всё делается через команды: 1) Увидеть текущие параметры политик: # /usr/local/samba/bin/samba-tool domain passwordsettings show В некоторых случаях программа samba-tool находится в другом месте, поэтому попробуйте сделать так: # /opt/samba/bin/samba-tool domain passwordsettings show Во-всяком случае, всегда можно воспользоваться командой find -name «*samba-tool*» и найти её.
Выпущенная Samba 4 реализует почти полноценный аналог Active Directory (AD), включая контроллер домена, службу DNS, Kerberos-аутентификацию, групповые политики. Однако, с помощью Samba 4 пока нельзя создавать сложные доменные структуры и иерархии и устанавливать доверительные отношения, что ограничивает применимость в крупных организациях. Таким образом, на текущий момент наиболее реальными применениями Samba 4 являются построение тестовых инфраструктур, а также внедрения в малом бизнесе. Тем более, что во многих случаях реальный выбор не так велик. Microsoft предлагает специальные редакции Windows…