Присоединение Centos к AD: службе каталогов не удалось выделить относительный идентификатор

С тех пор, как вышел CentOS 7, присоединение машины к AD было легким делом. Это просто работает, и если это не так, причина очевидна из сообщения об ошибке. Однако сейчас я застрял:

# realm join --user=felix@example.net example.net -v
 * Resolving: _ldap._tcp.example.net
 * Performing LDAP DSE lookup on: 192.168.1.50
 * Successfully discovered: example.net
Password for felix@example.net:
 * Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/bin/net
 * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.R9517Y -U felix@example.net ads join example.net
Enter felix@example.net's password:
Failed to join domain: failed to join domain 'example.net' over rpc: The directory service was unable to allocate a relative identifier.
 ! Joining the domain example.net failed
realm: Couldn't join realm: Joining the domain example.net failed

Похоже, виновником этого является directory service was unable to allocate a relative identifier ошибка; но все, что я могу найти, связано с подключением к DC после присоединения.

Контроллер домена - это Windows 2016 на 192.168.1.50

Интересно (и не удивительно, что этот домен был успешно обнаружен), realm discover успешно:

# realm discover example.net
example.net
type: kerberos
realm-name: EXAMPLE.NET
domain-name: example.net
configured: no
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools

Кроме того, если я использую неправильный пароль или использую другую учетную запись, у которой нет прав на присоединение - я получаю ожидаемую ошибку.