我是一名 Windows 管理员,帮助我们的一位 Linux 管理员将她的 OEL 8 框加入域。她在 ! 的 Realm join 操作期间遇到错误权限不足,无法加入域。完整的错误是:
!无法对活动目录进行身份验证:SASL(-1):一般性故障:GSSAPI 错误:未指定的 GSS 故障。次要代码可能会提供更多信息(在 Kerberos 数据库中找不到服务器) adcli:无法连接到 [redacted] 域:无法对活动目录进行身份验证:SASL(-1):一般性故障:GSSAPI 错误:未指定的 GSS 故障。次要代码可能会提供更多信息(在 Kerberos 数据库中找不到服务器) ... !权限不足,无法加入域 领域:无法加入领域:权限不足,无法加入域 ...
她正在使用她的域管理员帐户。在我们的环境中,只有域管理员和委派的服务台组可以加入/离开域。我们尝试了几个项目,包括指向我们知道它可以看到的特定域控制器的主机文件。我们已验证所有必要的端口均已打开。我们已验证域的 DNS 是正确的。她能够运行命令以使用她的域管理员帐户登录域。我们已经通过其他方式验证了她在域中的帐户(包括使用相同凭据登录域控制器)。多年来,她还将许多服务器加入到我们的域中,并且没有更改权限。
有人有什么想法吗?我们正在失去理智哈哈。
按照其他堆栈问题结果的建议将 rdns=false 添加到 krb5.conf
指向我们知道它可以看到的特定域控制器的主机文件
已验证本地防火墙中所有必要的端口都已打开
经过验证的 DNS
使用相同的域管理员帐户从 OEL 8 服务器登录域的成功命令
验证域中的帐户其他方式包括使用相同凭据的域控制器登录
多年来使用同一帐户加入我们域的其他服务器
所以我们能够弄清楚。事实证明,该目标环境中的两个域控制器之一并不健康,因此无法正确验证所使用的域管理员帐户。我们在配置中有特定的 DC,但按特定的顺序排列。由于仍然可以访问 DC,无论其运行状况如何,故障服务器都不会故障转移到列表中的下一个服务器。一旦第一个 DC 从列表中删除,它就会转到第二个,领域连接工作完美无缺。
所以,故事的寓意是,即使您可以从服务器联系目标 DC,如果遇到此错误,也要验证 DC 的健康状况。现在我要弄清楚为什么我的 DC 不健康了!好时光!