Не уверен, что мой заголовок сбивает с толку, но мне просто интересно, есть ли способ направить команду Realm Join на определенный сервер SRV Active Directory, который является членом, например, домена mycompany.local?
Вот моя команда присоединения:
realm join --user='MyAdminUser' --password='p@ssw0rd' --computer-ou='OU=Linux,OU=Servers,OU=MyCompany' --os-name='Linux' --os-version='CentOS 7' mycompany.local
Список моих серверов Active Directory в mycompany.local
nslookup -type=SRV _ldap._tcp.mycompany.local
;; Truncated, retrying in TCP mode.
Server: 10.17.145.13
Address: 10.18.145.13#53
_ldap._tcp.mycompany.local service = 0 100 389 dc01.mycompany.local.
_ldap._tcp.mycompany.local service = 0 100 389 dc02.mycompany.local.
_ldap._tcp.mycompany.local service = 0 100 389 dc03.mycompany.local.
_ldap._tcp.mycompany.local service = 0 100 389 dc04.mycompany.local.
_ldap._tcp.mycompany.local service = 0 100 389 dc05.mycompany.local.
_ldap._tcp.mycompany.local service = 0 100 389 dc06.mycompany.local.
_ldap._tcp.mycompany.local service = 0 100 389 dc07.mycompany.local.
Допустим, я хочу, чтобы «Realm Join» использовал конкретно «dc07.mycompany.local.»? Может быть, такой вариант:
--active-directory-server='dc07.mycompany.local.'
Зачем мне это нужно? Потому что у нас много подсетей, и некоторые серверы, которые мы развертываем, принадлежат к подсети, которая по умолчанию не имеет доступа, скажем, к "dc01.mycompany.local". Поскольку команда "realm join" по умолчанию просто выбирает случайным образом из всех серверов AD, которые находятся в "mycompany.local", команда не будет выполнена, тогда мы снова запускаем команду, пока она не выберет правильный сервер AD, который является "dc07.mycompany.local".
Можно сказать, просто разрешите машине доступ ко всем серверам AD, и тогда у вас не будет проблем. Да, на самом деле это наш обходной путь вместо многократного запуска команды realm join. Но было бы здорово, если бы мы могли указать сервер AD сразу в командной строке, чтобы нам не пришлось создавать запрос на обслуживание к ребятам из сети, чтобы разрешить нашей машине доступ к другому серверу AD в mycompany.local и ждать их.
Спасибо заранее, ребята!
решение1
Решил свою проблему. Я просто явно указал имя контроллера домена, заменив его на локальное доменное имя.
realm join --user='MyAdminUser' --password='p@ssw0rd' --computer-ou='OU=Linux,OU=Servers,OU=MyCompany' --os-name='Linux' --os-version='CentOS 7' dc02.mycompany.local.
При этом realm будет использовать adcli вместо net utililty.
решение2
На CentOS 7 man realmне указывает, что вы можете выбрать свой контроллер домена. Похоже на мойопыт, вам, вероятно, придется вернуться к команде с такой опцией:
net ads join --serveradcli --domain-controller