Ошибка подключения к AD alt-workstation-10.1-x86_64

[sirares]

Здравствуйте!
Имеется доменый лес, находится в другом часовом поясе, поднят на Windows Server 2016. При попытке ввести в домен компьютеров alt-workstation-10.1-x86_64 через графический интерфейс возникает ошибка

Failed to join domain: failed to lookup DC info for domain 'DOMAIN.RU' over rpc:
Indicates a referenced user name and authentication information are valid,
but some user account restriction has prevented successful authentication (such as time-of-day restrictions).

перевод

Не удалось присоедениться к домену: не удалось найти информацию о домене DC для домена 'DOMAIN.RU' через rpc: указывает, что имя пользователя на которое ссылается ссылка, и информация для аутентификации действительны, но некоторые ограничения пользователя препятствовали успешной аутентификации(например, ограничения по времени суток)

При этом ввод в домен компов с windows без проблем, подобная ошибка и при подключении AstraLinux в третьем городе с часовым поясом совпадающим с сервером.
По вопросу времени была проведена следующая последовательность в консоле изменено текущее время, затем время БИОС, затем еще раз установлен часовой пояс, принудительно поменян сервер синхронизации совпадающий с контроллером домена, выполнена синхронизация. В результате время вернулось назад с учетом временного отрезка занявшего данные операции.

Ввод в домен консольными командами
system-auth write ad DOMAIN.RU testpc DOMAIN 'administator' 'password' и
net ads join -U 'administator' 'password'
также возникает ошибка либо: не могу присоединиться к домену, либо с описанным ранее контекстом.

DOMAIN.RU testpc DOMAIN 'administator' 'password' соответственно реальные, сеть без проблем.

После перезагрузки и входа в локального пользователя предлагает получить билет домена, и если ввести учетные данные домена, то окно пропадает, если не ввести или ввести некорректные появляется снова.

Компьютеры соединены через ведомственную сеть, с ограничением выхода в интернет.

[kessys]

Здравствуйте!
Имеется доменый лес, находится в другом часовом поясе, поднят на Windows Server 2016. При попытке ввести в домен компьютеров alt-workstation-10.1-x86_64 через графический интерфейс возникает ошибка

Failed to join domain: failed to lookup DC info for domain 'DOMAIN.RU' over rpc:
Indicates a referenced user name and authentication information are valid,
but some user account restriction has prevented successful authentication (such as time-of-day restrictions).

перевод

Не удалось присоедениться к домену: не удалось найти информацию о домене DC для домена 'DOMAIN.RU' через rpc: указывает, что имя пользователя на которое ссылается ссылка, и информация для аутентификации действительны, но некоторые ограничения пользователя препятствовали успешной аутентификации(например, ограничения по времени суток)

При этом ввод в домен компов с windows без проблем, подобная ошибка и при подключении AstraLinux в третьем городе с часовым поясом совпадающим с сервером.
По вопросу времени была проведена следующая последовательность в консоле изменено текущее время, затем время БИОС, затем еще раз установлен часовой пояс, принудительно поменян сервер синхронизации совпадающий с контроллером домена, выполнена синхронизация. В результате время вернулось назад с учетом временного отрезка занявшего данные операции.

Ввод в домен консольными командами
system-auth write ad DOMAIN.RU testpc DOMAIN 'administator' 'password' и
net ads join -U 'administator' 'password'
также возникает ошибка либо: не могу присоединиться к домену, либо с описанным ранее контекстом.

DOMAIN.RU testpc DOMAIN 'administator' 'password' соответственно реальные, сеть без проблем.

После перезагрузки и входа в локального пользователя предлагает получить билет домена, и если ввести учетные данные домена, то окно пропадает, если не ввести или ввести некорректные появляется снова.

Компьютеры соединены через ведомственную сеть, с ограничением выхода в интернет.

1. Надеяться на самостоятельный резолв dns, не самая лучшая идея заполняйте вручную.
2. Свыше Windows Server 2012 не поддерживается ещё - однако есть тут sssd и winbind, попробуйте winbind авось он сможет.
3. Отсутствие прав на ввод в домен.
4. Билет домена - да он здесь такой красивый любите его.
5. Время - в alterator отключаем галочку Хранить время в Bios по гринвичу. время сдвигается на 3 часа, и в биос настраиваем заново. И всё топ.
Подробнее дальше - в случае отставания или больше на 5 минут времени отключаются сетевые ресурсы. Запасайтесь батарейками.
6. Синхронизация на ad не работает - есть  заявка

[sirares]

Спасибо.

1. Надеяться на самостоятельный резолв dns, не самая лучшая идея заполняйте вручную.

Настройка сети была произведена вручную и dns серверы указаны, если что-то нужно еще, прошу помощи - направьте куда посмотреть, маршруты в resolv.conf есть
 три  штуки, в соответстивии с настройками.

2. Свыше Windows Server 2012 не поддерживается ещё - однако есть тут sssd и winbind, попробуйте winbind авось он сможет.

а вот тут поподробнее, пакеты windbind установлены - проверял: rpm -qa | grep bind

Код: [Выделить]

bind-utils-9.16.35-alt1.x86_64
samba-winbind-common-4.16.7-alt5.x86_64
samba-winbind-4.16.7-alt5.x86_64
rpcbind-1.2.6-alt1.qa1.x86_64
sssd-winbind-idmap-2.8.1-alt1.x86_64
samba-winbind-clients-4.16.7-alt5.x86_64
libbind-9.16.35-alt1.x86_64
libindicator-gtk3-12.10.1-alt1_19.x86_64а вот как настроить - не сталкивался

5. Время - в alterator отключаем галочку Хранить время в Bios по гринвичу. время сдвигается на 3 часа, и в биос настраиваем заново. И всё топ.

так и сделано, затем выполнена синхонизация - расхождение 0,000xxx sec - точно не помню, а тот комп не в интернете - пишу с другого - нужное либо перепечатываю, либо на флешке.
ну и синхронизация после указания конкретного сервера есть - проверено.

Код: [Выделить]

6 Oct 09:31:33 ntpdate[3565]: adjust time server 10.xxx.xxx.xxx ofset +0.000771 sec

[kessys]

Настройка сети была произведена вручную и dns серверы указаны, если что-то нужно еще, прошу помощи - направьте куда посмотреть, маршруты в resolv.conf есть
 три  штуки, в соответствии с настройками

hosts? ну и в первую очередь пункт 2 про сервер.

а вот тут поподробнее, пакеты windbind установлены - проверял: rpm -qa | grep bind

Обновите систему и в alterator все увидите.

так и сделано, затем выполнена синхронизация - расхождение 0,000xxx sec - точно не помню, а тот комп не в интернете - пишу с другого - нужное либо перепечатываю, либо на флешке. 
ну и синхронизация после указания конкретного сервера есть - проверено.

у меня всё проще - при входе в домен он меняет адрес на доменный, да и удобно должно быть так, не пытаюсь что-то настраивать ещё.

[sirares]

с host все в порядке в соответсвии с мануалом
127.0.0.1 localhost
127.0.0.1 NAME.DOMAIN.RU NAME

NAME.DOMAIN.RU и NAME реальные

winbind стоит, запущен, но выключен

Код: [Выделить]

#systemctl status winbind
o winbind.service - Samba Winbind Daemon
loaded: loaded (/lib/systemd/system/winbind.service; disabled; vendor reset: disabled)
Active: inactive (dead)
Docs:
man:winbandd (8)
man: samba (7)

#control system-auth
sss
соответственно аутентификация sss, а предполагаю должна быть другая, через winbind, а не через sssd

в консоли билет получаю, вижу его
kinit   проходит, запашивает пароль
klist   все что нужно выдает
буду курить мануал - благо написан в выводе

[sirares]

Проблема решена, winbind совсем не обязателен оказался, хотя и он тоже настраивается и работает.
Сперва проверяем возможность подключения

Код: [Выделить]

realm discover domain.ru --verboseДля подключения необходимо было сначала получить "билет на выдачу билетов"? а затем уже подключать и проверять :

Код: [Выделить]

kinit administator
Password for administator@DOMAIN.RU:
realm join -U administrator domain.ru
realm listпоследняя команда и показываетподключение и наличие аутентификации в домене, при настроенных sssd и winbind показывает сразу два типа аутентификации, одного пока оказалось достаточно достаточно.
Через  realm leave -v -U administarator можно вывести из домена, если два типа аутентификации, то нужно при выводе указать тип

Код: [Выделить]

realm leave -v --client-software=sssd -U administator
realm leave -v --client-software=winbind -U administatorи проверяем что аутентификация локальная
control system-auth
для полноты удаления из домена удаляем директории
\var\lib\sss\db
\var\lib\sss\mc
у меня при повторном вводе были ошибки, после удаления все ОК, но контрольную проверку, что связано с этим не проводил.

[kessys]

Ну да надо же не забывать что нужен какой-то список пакетов.
Рекомендуемых полных наборов пакетов Особо тут нет и не подготовлено.