Ich bin nicht sicher, ob mein Titel verwirrend ist, frage mich aber, ob es eine Möglichkeit gibt, den Befehl „Realm Join“ auf einen bestimmten SRV Active Directory-Server zu richten, der z. B. Mitglied der Domäne mycompany.local ist?
Hier ist mein Join-Befehl:
realm join --user='MyAdminUser' --password='p@ssw0rd' --computer-ou='OU=Linux,OU=Servers,OU=MyCompany' --os-name='Linux' --os-version='CentOS 7' mycompany.local
Liste meiner Active Directory-Server unter mycompany.local
nslookup -type=SRV _ldap._tcp.mycompany.local
;; Truncated, retrying in TCP mode.
Server: 10.17.145.13
Address: 10.18.145.13#53
_ldap._tcp.mycompany.local service = 0 100 389 dc01.mycompany.local.
_ldap._tcp.mycompany.local service = 0 100 389 dc02.mycompany.local.
_ldap._tcp.mycompany.local service = 0 100 389 dc03.mycompany.local.
_ldap._tcp.mycompany.local service = 0 100 389 dc04.mycompany.local.
_ldap._tcp.mycompany.local service = 0 100 389 dc05.mycompany.local.
_ldap._tcp.mycompany.local service = 0 100 389 dc06.mycompany.local.
_ldap._tcp.mycompany.local service = 0 100 389 dc07.mycompany.local.
Angenommen, ich möchte, dass „Realm Join“ speziell „dc07.mycompany.local“ verwendet? Vielleicht eine Option wie:
--active-directory-server='dc07.mycompany.local.'
Warum brauche ich das? Weil wir viele Subnetze haben und einige der von uns eingesetzten Server zu einem Subnetz gehören, das standardmäßig keinen Zugriff hat, sagen wir mal, auf „dc01.mycompany.local“. Da der Befehl „realm join“ standardmäßig einfach zufällig aus allen AD-Servern auswählt, die sich unter „mycompany.local“ befinden, schlägt der Befehl fehl. In diesem Fall führen wir den Befehl erneut aus, bis er den richtigen AD-Server auswählt, nämlich „dc07.mycompany.local“.
Sie können sagen, lassen Sie die Maschine einfach auf alle AD-Server zugreifen, dann gibt es keine Probleme. Ja, das ist eigentlich unser Workaround, anstatt den Realm-Join-Befehl mehrmals auszuführen. Aber es wäre toll, wenn wir den AD-Server direkt in der Befehlszeile angeben könnten, damit wir keine Serviceanfrage an die Netzwerkleute senden müssen, um unserer Maschine den Zugriff auf den anderen AD-Server in mycompany.local zu erlauben und auf sie zu warten.
Vielen Dank im Voraus, Leute!
Antwort1
Mein Problem ist gelöst. Ich habe einfach den Namen des Domänencontrollers explizit deklariert und durch den lokalen Domänennamen ersetzt.
realm join --user='MyAdminUser' --password='p@ssw0rd' --computer-ou='OU=Linux,OU=Servers,OU=MyCompany' --os-name='Linux' --os-version='CentOS 7' dc02.mycompany.local.
Damit verwendet Realm adcli anstelle von net utility.
Antwort2
Unter CentOS 7 man realm
wird nicht angezeigt, dass Sie Ihren Domänencontroller auswählen können. Ähnlich wie bei meinemErfahrungmüssen Sie wahrscheinlich auf einen Befehl mit der folgenden Option zurückgreifen:
net ads join --server
adcli --domain-controller