無法將 OSX 10.5 和 10.4 綁定到 Active Directory 2008
任何人都有將 10.5+ 工作站綁定到 2008 活動目錄結構的經驗。我們在升級之前在我們的測試域中測試了這個功能,沒有發現任何問題。現在我們已經升級了生產環境,我們收到了無效的使用者名/密碼錯誤。我們正在預先創建機器帳戶(就像我們一直做的那樣),我已經嘗試綁定 OU 管理員級別和企業管理員級別的權限。兩者都返回相同的錯誤。與域的通信似乎正常工作,因為它正確地找到了一個 DC(DNS 正向和反向都很好),它還找到了我預先創建的電腦對象並要求綁定到它。我還嘗試刪除目錄服務資訊並嘗試從頭開始綁定,但沒有成功。我已經為此苦苦掙扎了一段時間,可以使用一些幫助。
更新 3:追溯到可能與 krbtgt 使用者有關的問題。由於在電腦對像上執行 changepw 命令時綁定失敗。微軟和蘋果目前正在合作解決這個問題,當找到解決方案時我會更新。
更新 4:糾正此問題的修補程序在下面的答案中。
如果您遇到此問題,請安裝此修補程序。它是由於之前在您的域中執行了權威恢復。這解決了我們的問題。
我現在不在家,所以我不能看我的 Mac。但是我相信您正在尋找將安裝在應用程序->實用程序中的“目錄實用程序”。上次我不得不做這個配置時,我是在 10.4 中做的,但當時做得很好。
我遇到的一個問題是有時 windows 動態 dns 會為同一台機器獲取兩條記錄,並且事情會中斷。您可以通過在終端中執行“主機名”並查看您是否獲得多個名稱來檢查這一點。
另一個問題是時間同步。AD 使用 kerberos,DC 和客戶端之間的時間漂移不能超過 5 分鐘。我應該將 DC 設置為您的時間伺服器,至少作為排除這種情況的測試的一部分。
接下來嘗試使用不同的名稱創建一個新的 AD 對象。有時機器人這樣做會導致問題。我發現有了正確的組成員身份(tt 讓我忘記了,也許是“高級使用者”),我不需要在 AD 中預先部署我的機器。稍後我會將它們移至右側 OU。