2.4.0. Доверительные отношения с MS AD. Главный IPA-сервер ответил отказом на запросы

vlad_konn

Участник
Регистрация
18.11.24
Сообщения
9
Реакции
0
Коллеги, доброго дня

ALD PRO: 2.4.0
Astra Linux: 1.7.6.14
MS Server: Windows Server 2019 Standard
Домен MS: win.kom.ysts
Домен ALD: ald.kom.ysts


Поднимаю виртуальный стенд с ALD-PRO 2.4.0 и поднимаю доверенные взаимоотношения с MS Server. В структуре ALD-PRO находятся основной и резервный КД. На Основной были установлены дополнительно модуль глобального каталога и модуль синхронизации. Иду по инструкции: УСТАНОВКА ДОВЕРИТЕЛЬНЫХ ОТНОШЕНИЙ МЕЖДУ MICROSOFT ACTIVE DIRECTORY И ALD PRO. В момент выполнения команды на основном КД, выходит ошибка:
Код:
ipa -d -v trust-add --type=ad win.kom.ysts --admin Администратор --password --two-way=true

ipa: ERROR: Недостаточно прав для доступа: Главный IPA-сервер ответил отказом на запросы по утверждению отношений доверия от DC AD следующее количество раз: 10. Скорее всего, DC AD была установлена связь с репликой, на которой ещё не выполнена репликация данных об отношениях доверия. Кроме того, проверьте, может ли DNS AD определять по записям SRV _ldap._tcp.ald.kom.ysts, _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.ald.kom.ysts корректный IPA-сервер.

Дополнительно попробовал воспользоваться советом из ошибки, проверяя какие записи приходят на КД MS. Заметил, что записи приходят с суффиксом hq._locations. Не понимаю, это значит все хорошо или нет.

Прошу подсказать, в чем может быть проблема. Какие значения еще стоит проверить?
 

Вложения

  • DNS MS AD screen.png
    DNS MS AD screen.png
    17 KB · Просмотры: 53
  • nsloolkup s1 .png
    nsloolkup s1 .png
    108.6 KB · Просмотры: 53
  • nsloolkup s2 .png
    nsloolkup s2 .png
    101.1 KB · Просмотры: 53
Последнее редактирование:
РЕШЕНО:
Выполнил команду

Код:
ipa-adtrust-install

Там где требовалось вводить подтверждение по ходу установки, везде писать: yes

После этого выполнить профилактические команды на главном контроллере домена с установленным глобальным каталогом и модулем доверенной синхронизации:
Код:
kinit admin
kdestroy -A

При выполнении повторной попытки результат стал успешным.
 
Назад
Сверху Снизу