Автор Тема: AD LDAP ERROR: 50 при подключении компьютера к домену Windows 2012 R2  (Прочитано 2145 раз)

Оффлайн sudoer

  • Начинающий
  • *
  • Сообщений: 4
Имеется:
Домен уровня Windows 2012 R2, наименование домена - Mydom.local (регистр символов сохранён)
Три контроллера домена с адресами 192.168.111.3, 192.168.111.8, 192.168.111.15 (DC02, DC01, VDC01 соответственно, последний - виртуальный)
Компьютер с установленной "по умолчанию" Alt Linux "Платформа 9" Workstation.
Сетевые настройки взяты по DHCP, в том числе адреса 192.168.111.3 и 192.168.111.8

Что работает:
Интернет через прокси-сервер TMG-2010 с адреса 192.168.111.1 раздаётся при условии отключения на проксе авторизации (не суть).
apt-get install task-auth-ad-sssd - тут всё нормально, в принципе, оно и по умолчанию стоит.
В файле /etc/nsswitch.conf удалена опция [NOTFOUND=return]
Все сетевые шары домена открываются, если вручную вводить юзер и пассворд.

Что не работает:
Не работает SSO, поскольку для этого надо ввести компьютер в домен.

Вывод klist:
Ticket cache: KEYRING:persistent:0:0
Default principal: adm.name@MYDOM.LOCAL (логин доменного админа содержит точку)
Valid starting       Expires              Service principal
30.04.2021 13:34:16  30.04.2021 23:34:16  krbtgt/MYDOM.LOCAL@MYDOM.LOCAL
   renew until 07.05.2021 13:34:16

Однако при вводе компьютера в домен выдаёт:
Невозможно подключиться к домену Active Directiry: ads_print_error: AD LDAP ERROR: 50 (insufficient access): 00002098: SecErr: DSID-03150E49, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
Failed to join domain^ failed to set machine kerberos encryption types: Insufficient access

Подскажите направление поиска

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Имеется:
Домен уровня Windows 2012 R2, наименование домена - Mydom.local (регистр символов сохранён)
Три контроллера домена с адресами 192.168.111.3, 192.168.111.8, 192.168.111.15 (DC02, DC01, VDC01 соответственно, последний - виртуальный)
Компьютер с установленной "по умолчанию" Alt Linux "Платформа 9" Workstation.
Сетевые настройки взяты по DHCP, в том числе адреса 192.168.111.3 и 192.168.111.8

Что работает:
Интернет через прокси-сервер TMG-2010 с адреса 192.168.111.1 раздаётся при условии отключения на проксе авторизации (не суть).
apt-get install task-auth-ad-sssd - тут всё нормально, в принципе, оно и по умолчанию стоит.
В файле /etc/nsswitch.conf удалена опция [NOTFOUND=return]
Все сетевые шары домена открываются, если вручную вводить юзер и пассворд.

Что не работает:
Не работает SSO, поскольку для этого надо ввести компьютер в домен.

Вывод klist:
Ticket cache: KEYRING:persistent:0:0
Default principal: adm.name@MYDOM.LOCAL (логин доменного админа содержит точку)
Valid starting       Expires              Service principal
30.04.2021 13:34:16  30.04.2021 23:34:16  krbtgt/MYDOM.LOCAL@MYDOM.LOCAL
   renew until 07.05.2021 13:34:16

Однако при вводе компьютера в домен выдаёт:
Невозможно подключиться к домену Active Directiry: ads_print_error: AD LDAP ERROR: 50 (insufficient access): 00002098: SecErr: DSID-03150E49, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
Failed to join domain^ failed to set machine kerberos encryption types: Insufficient access

Подскажите направление поиска
Найдите своего системного администратора и покажите ему это. Пусть он введёт в домен под учётной записью с необходимыми привилегиями.
Андрей Черепанов (cas@)

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Простите, не совсем в тему, но нежелательно использовать домены типа .local. Это зарезервированное имя.

Оффлайн sudoer

  • Начинающий
  • *
  • Сообщений: 4
Если бы всё было так просто. Есть у меня все необходимые привилегии, причём максимально возможные. Также я могу с этой линуксовой воркстейшн получить административные шары любого сервера, подключиться к служебным каталогам DFS и прочие темы. Но только вручную вводя логин и пароль.

PS: Про зону local я в курсе, но домен существует так давно, что никакого смысла менять внутреннюю зону уже нет, легче просто убить домен. Если local может повлиять на аутентификацию, в каком именно месте это может произойти? Поиск DNS работает безупречно, оба DNS сервера резолвят все доменные ресурсы на этом компьютере.

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Если бы всё было так просто. Есть у меня все необходимые привилегии, причём максимально возможные. Также я могу с этой линуксовой воркстейшн получить административные шары любого сервера, подключиться к служебным каталогам DFS и прочие темы. Но только вручную вводя логин и пароль.

PS: Про зону local я в курсе, но домен существует так давно, что никакого смысла менять внутреннюю зону уже нет, легче просто убить домен. Если local может повлиять на аутентификацию, в каком именно месте это может произойти? Поиск DNS работает безупречно, оба DNS сервера резолвят все доменные ресурсы на этом компьютере.
Проверьте, чтобы dns стоял сразу после files для hosts в файле /etc/nsswitch.conf
Андрей Черепанов (cas@)

Оффлайн sudoer

  • Начинающий
  • *
  • Сообщений: 4
Вернулся к вопросу. Всё так и есть, во всех активных строчках DNS идёт вторым.
Тут возникла мысль - куда вставляется вводимый компьютер, в какой OU, либо контейнер надо где-то указать при вводе. Поддерживается ли ввод компьютера в то подразделение, в котором уже внесена "заготовка" объекта? Хотя проверил доступы на все контейнеры - у админа предприятия однозначно везде полный доступ. Подозрение на Kerberos домена, возможно, с ним какие-то проблемы.

PS: Нет, всё-таки с контейнером Computers есть особенность. Добавить туда что-либо не представляется возможным даже вручную. Да оно, собственно, и не надо было - виндовые кампутеры добавлялись всегда в нужные подразделения.
« Последнее редактирование: 12.05.2021 10:59:38 от sudoer »

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Вернулся к вопросу. Всё так и есть, во всех активных строчках DNS идёт вторым.
Тут возникла мысль - куда вставляется вводимый компьютер, в какой OU, либо контейнер надо где-то указать при вводе. Поддерживается ли ввод компьютера в то подразделение, в котором уже внесена "заготовка" объекта? Хотя проверил доступы на все контейнеры - у админа предприятия однозначно везде полный доступ. Подозрение на Kerberos домена, возможно, с ним какие-то проблемы.
Указание конкретного OU при вводе в домен не поддерживается штатными средствами дистрибутива (в alterator-auth).
Можно ввести вручную через net ads join createcomputer=OU ...
Андрей Черепанов (cas@)

Оффлайн sudoer

  • Начинающий
  • *
  • Сообщений: 4
Выше ПыСы добавил, и проверил через командную строку - вводится всё нормально в нужный контейнер, именно что проблема оказалась в дефолтном контейнере. Вот же чудеса.