Работает ли объединение Lion Open Directory с Windows на самом деле?
В соответствии с https://help.apple.com/advancedserveradmin/mac/10.7/ можно присоединиться к Lion Open Directory с помощью компьютера Windows, заставив его думать, что он присоединяется к домену Active Directory.,
Тем не менее, я не имел никакого успеха в том, чтобы сделать эту работу.
Во-первых, даже запись SRV в DNS (на том же сервере Lion, на котором также работает OpenDirectory) не была создана.
Как только я добавил это вручную, реплицируя реальную запись SRV реального домена Active Directory, Windows, по крайней мере, удалось найти сервер, но не удалось установить соединение:
DNS was successfully queried for the service location (SRV) resource record used to
locate a domain controller for domain "miranda.pilif.home":
The query was for the SRV record for _ldap._tcp.dc._msdcs.miranda.pilif.home
The following domain controllers were identified by the query:
miranda.pilif.home
However no domain controllers could be contacted.
Common causes of this error include:
- Host (A) or (AAAA) records that map the names of the domain controllers to their IP
addresses are missing or contain incorrect addresses.
- Domain controllers registered in DNS are not connected to the network or are not
running.
не беспокойтесь о странном домене - это мини-тестовый Mac с Lion дома.
Видя, насколько неточна документация для Lion Server, я склонен думать, что приведенная выше документация просто не соответствует действительности, и что Lion, как и его предшественники, не поддерживает воспроизведение мастера Active Directory.
Я прав в этом предположении или я делаю что-то не так при установке Lion? У кого-нибудь был успех в присоединении Windows к Lion Open Directory?
3 ответа
С открытыми глазами я перешел с Snow Leopard Server на Lion Server для клиента в смешанной среде. Мне было известно об отсутствии поддержки домена в Lion и о том, что машины с Windows не могут быть частью Open Directory, и что единый вход для всех клиентов Windows будет удален (что не было большой проблемой, потому что мне пришлось настраивать все Windows 7). клиенты таким образом из-за отсутствия поддержки в Samba, которая была в комплекте с Snow Leopard Server, который действовал как PDC).
Итак, я подумал: эй, сделай простое обновление. Вы теряете PDC, но кого это волнует? Таким образом, после "погружения", так сказать, все машины Windows потеряли способность даже подключаться к любому из ранее доступных ресурсов. Я мог бы smb:// из macs на сервер, но не из windows на сервер. Я получал сообщения, что ресурс недоступен...
После более чем недели поддержки Apple, я все еще не ближе, однако, как администратор, я могу подключиться к серверу, используя прямой IP-адрес (но не с учетными записями пользователей - даже если я сделаю их администраторами... что мне также показалось любопытным)... что является подсказкой того, что это как-то связано с учетными записями пользователей и привилегиями, когда что-то теряется в процессе миграции.
Инструменты настройки ужасны для Lion Server, предоставляя вам минимальные возможности и небольшую документацию о том, куда идти или как решать проблемы. Например, мне не удалось выяснить, где и / или как изменить имя компьютера для пользователей Windows. Нигде не документировано. На самом деле поддержка Windows - это небольшой флажок рядом с каждым общим ресурсом, спрашивающий, хотите ли вы поделиться с клиентами Windows. Имя рабочей группы - нигде, домен, нигде, имя машины, нигде. Arrgh. Имя сервера можно изменить, нажав на значок сервера. Изменение этого параметра влияет только на клиенты Mac, а не на Windows.
В конце представители Apple рассказали мне о том, как все участвуют в соревнованиях, и они действительно не хотят, чтобы они разговаривали друг с другом... и тот факт, что они это делают, является чудом. Не покупайте это, но эй, я думаю, у него закончились предложения для меня.
На недавно сконфигурированном боксе 10.7 с установленными утилитами сервера не было проблем с подключением к общим ресурсам с Windows-клиентами, поэтому этот конфиг работает так, как объявлено... только не обновление
Мой следующий шаг - уничтожить ОД и перестроить его вместе с акциями, чтобы понять, может ли это быть причиной. Оставайтесь в курсе. Еще несколько часов я не вернусь.
Рекомендация в ретроспективе... Версия Snow Leopard Server работает нормально. Не "обновлять". Инструменты, предлагаемые в Lion Server, упрощены, и любая реальная конфигурация должна выполняться с помощью командной строки... Apple пока не знает, как решать проблемы. Если вы хотите быть авантюрным, дерзайте... просто не удивляйтесь, если вас увязнут неожиданные способы. Для меня продуктивность за неделю.
Насколько я знаю, компонент SMB в 10.7 не способен ни в каком случае выступать в качестве контроллера домена, ни в стиле NT4, ни в AD. Все, что он может сделать, это действовать как сервер SMB2.
Они прекратили Samba в 10.7, потому что Samba перешла на GLPv3, лицензию, которую Apple не может или не хочет использовать, и вместо этого написала свой собственный минимальный SMB-сервер.
Насколько мне известно, 10.7 Server - ужасная шутка, и для меня это конец линии с Apple на бэкэнде.
Я прав в этом предположении или я делаю что-то не так при установке Lion? У кого-нибудь был успех в присоединении Windows к Lion Open Directory?
Маловероятно, что Lion отсутствовал всего пару дней с момента публикации. Мне уже пришлось отговаривать некоторых из моих пользователей от обновления из-за критической несовместимости.
Что касается Open Directory, документация довольно скудная о том, что именно она делает. Есть два способа присоединиться к домену AD:
- Присоединяйтесь к области Kerberos, которую сервисы с поддержкой Kerberos могут выполнять с 2000 года.
- Присоединяйтесь к домену Windows через все хуки Microsoft, что стало возможным благодаря продукту Samba (и другим) уже довольно давно.
Когда дело доходит до эмуляции прямого контроллера домена AD, который необходим для эмуляции Active Directory, все становится намного сложнее. Я знаю один коммерческий продукт, который может это сделать, а также все еще находящийся в разработке пакет Samba 4. Насколько я понимаю, коммерческий продукт заимствован у Samba 4 (у IIRC есть компонент GPL и компонент с закрытым исходным кодом), чтобы делать то, что он делает.
На более ранней странице документации показан способ, с помощью которого Open Directory делает то, что делает. Это не очень понятно, но "магический треугольник", о котором идет речь, предполагает, что он использует AD для аутентификации в Open Directory, и позволяет использовать все остальные биты Open Directory с ним (какими бы они ни были).
На самом деле, не совсем ясно, что он делает домен Active Directory. Это может быть просто создание домена в стиле NT4 с PDC, то, чем Samba занимается уже много лет. Те не нуждаются в записях DNS. Доменное имя в вашем случае выглядит как "MIRANDA" или "PILIF".