В какой части искать проблему, если невозможно подключиться к AD?

Question

[denn]

Поднял домен на Zentyal Linux, ввел рабочую машину в домен успешно. Но при проверке dcdiag обнаружил ошибку:

TEST: Basic (Basc)
Error: No WMI connectivity
Не найдены записи узла (А или АААА) для данного DC.

Синтаксис команды dcdiag я указал так:

dcdiag /s:dcadm /test:dns

Если просто ввести dcdiag, то невозможно найти основной сервер.
КД пингует без проблем. ДНС КД указан первым в списке на рабочей машине. Рабочая машина введена в домен, входит по логину. При добавлении пользователя, отображается в Пользователях и компьютерах Active Directory.
КД подключен в микротик. Список Firewall пуст.

Comments

[nApoBo3]

Судя по всему у вас нет необходимых dns записей.

[denn]

nApoBo3, а где именно их нет? Куда добавлять?

[nApoBo3]

denn, в настойках dns сервера.
Но если вы задаете такой вопрос, вероятно вам не стоит поднимать DC на linux. Это "приключение" само по себе содержит достаточно подводных камней, не стоит за это браться не обладая запасом квалификации.

Answer 1

[Максим Гришин]

Как минимум: проверьте, что nslookup возвращает А-записи с IP-адресом контроллера домена при обращении к нему по DNS. Возможно, вы подняли эквивалент AD DS, но не подняли DNS-сервер, или не сконфигурировали его достаточно, чтобы DC занес в зону необходимые записи, как следствие, тест проваливается.
Если ваш DC имеет имя, скажем, dc.example.com, то в DNS должны быть записи как для dc.example.com, так и для example.com, показывающие на DC.

Comments

[denn]

nslookup dcadm.***.ru
╤хЁтхЁ: adm-srv-dc01.dcadm.***.ru
Address: 10.0.1.3

╚ь : dcadm.***.ru
Address: 10.0.1.3
пробовал в микротик добавлять по этой инструкции, но не помогло

[Максим Гришин]

denn, ну да, значит нет такой записи. Технически, если у вас на тике есть зона forward lookup dcadm.***.ru, добавить нужно запись А на пустое имя (или @, если не ошибся, в случае bind9), тогда тест должен пройти этот этап. Если у тика нет понятия зоны (на что больше похоже), добавлять надо A-запись на dcadm.***.ru как таковой.

[Максим Гришин]

Ну и вообще, а причем тут тик? DNS-записи для домена должны раздаваться контроллером домена (10.0.1.3), и DNS-сервер на нем есть, судя по логам. Вот его и настраивайте.

[denn]

Максим Гришин, указал адреса из той инструкции, но эффекта ноль. Перезагрузил и то и то

[Alexey Dmitriev]

denn, а вы хотя бы как то понимаете, что делаете - или тупо по инструкции?
Причем здесь ваш микротик-если у вас на контроллере домена есть DNS и нужно проверять на какой DNS смотрит контроллер домена и компьютер, где запускаете dcdiag, и есть ли там необходимые записи.

[denn]

Alexey Dmitriev, я там и там пробовал менять на всякий случай. Потому что в той инструкции было сказано, что при добавлении этих записей, компьютер должен автоматом находить КД. Но при добавлении записей в КД ДНС, эффекта также не принесло. Но друг друга видят. Я и пытаюсь понять. Что блочит. Микротик, или нет.