Failed to join domain astra linux

Клиент не подключается к домену

Клиент не подключается к домену через f ly-admin-ad-client , astra-winbind или astra-ad-sssd-client .

Диагностика

• Проверить список доменов на экране входа — будут отображаться домены, которые пользователю не нужны.
  При попытке входа в нужный домен выводится ошибка вида:

Возможная причина: Большое число дочерних доменов . Перейти к решению.

Failed to join domain: failed to lookup DC info for domain '' over rpc: The request is not supported

Возможная причина: Запрещена NTLM-аутентификация на контроллере домена . Перейти к решению.

"Couldn't get kerberos ticket for: user@xxxxxxxxxx: KDC reply did not match expectations"

Возможная причина: Имя домена указано в нижнем регистре . Перейти к решению.

Bad SMB2 signature for message [0000] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 . . [0000] DB E7 09 DA 72 82 F9 CC D3 0E 4C 0A 11 3C 89 70 . r. ..L.. A process has requested access to an object but has not been granted those access rights.

Возможная причина: Один IP-адрес у контроллера домена и клиента . Перейти к решению.

Failed to join domain: failed to lookup DC info for domain 'windom.loc' over rpc: The transport connection has been reset. ! Joining the domain windom.loc failed realm: Не удалось присоединиться к области: Joining the domain windom.loc failed проблемы установки. подробности в файле /var/log/realmd-install.log

Get-SmbServerConfiguration

Источник

Основные ошибки при вводе клиента в домен Windows AD

Ошибка «Failed to join domain: failed to lookup DC info for domain ‘win.ad’ over rpc: The attempted logon is invalid. This is either due to a bad username or authentication information.»

Причина: в команде ввода в домен неправильно указано имя администратора домена или пароль:

• Указанный пользователь не имеет необходимых прав;
• В файле /etc/resolv.conf указаны неверные данные, либо данные отсутствуют;
• В файле /etc/nsswitch.conf указаны неверные данные (например, после самостоятельного внесения изменений).

• Использовать правильный логин или пароль, а также проверить вход от имени администратора домена;
• При настройке сети указать правильные данные сервера (серверов) DNS и правильный поисковый домен;
• Вернуть файл /etc/nsswitch.conf к исходному состоянию.

Ошибка: «Failed to join domain: Invalid configuration («workgroup» set to ‘ASTRA’, should be ‘WIN’) and configuration modification was not requested»

Причина: неправильно указано имя рабочей группы (NetBIOS).

Решение: указать правильное имя рабочей группы (NetBIOS).

Ошибка: «Failed to join domain: Failed to set account flags for machine account (NT_STATUS_ACCESS_DENIED)»

Причина: в команде ввода в домен указано имя компьютера уже использованное в домене AD (например, имя другого компьютера).

1. Изменить имя компьютера, вводимого в домен:
   1. Изменить имя компьютера в файле /etc/hosts и в файле /etc/hostname;
   2. Перезагрузить компьютер;
   3. Повторить ввод в домен AD;

   Проблема с авторизацией после ввода в домен

   Вход в домен не выполняется, записи об ошибках входа в журналах отсутствуют, возможно появление на экране входа сообщения «Ошибка входа».

   Причина: не синхронизировано время контроллера домена и клиента.

   Решение: проверить синхронизацию времени с контроллером домена AD, для чего выполнить команду:

   

   Дополнительно проверить синхронизацию времени с контроллером домена AD, если нет информации об ошибке. В /var/log/auth.log отображается следующее:

   Конфликтующие модули в pam-стеке (winbind и sssd)

   На экране авторизации отображается ошибка «Вход неудачен». В файлах журналов отсутствует информация о попытке входа доменным пользователем, однако в /var/log/auth.log содержатся сообщения вида:

   Jul 13 15:52:35 astra polkitd(authority=local): Unregistered Authentication Agent for unix-session:3 (system bus name :1.32, object path /org/kde/PolicyKit1/AuthenticationAgent, locale ru_RU.UTF-8) (disconnected from bus)

   Причина: одновременное использование пакетов winbind и sssd.

   Решение: использовать только пакеты winbind или только sssd. Для удаления ненужного пакета выполнить команду:

   

   где в появившемся окне снять чек-бокс с модуля sss authentication:

   См. также следующий раздел «Исправление параметров в файле /etc/krb5.conf при использовании winbind»

   Исправление параметров в файле /etc/krb5.conf при использовании winbind

   Если иные способы не помогают, то при проблемах с входом пользователя можно попробовать д обавить в файл /etc/krb5.conf в секцию [realms] следующие параметры:

   auth_to_local = RULE:[1:$1@$0](^.*@WINDOMAIN.AD$)s/@WINDOMAIN.AD/@windomain.ad/ auth_to_local = DEFAULT

   

   Вместо «@WINDOMAIN.AD» и «@windomain.ad» указать свой домен:

   Если после изменения файла /etc/krb5.conf возникает ошибка входа, необходимо проверить правильность написания параметров.

   Ошибка «Проблема установки» при использовании sssd

   Причина: ошибка «проблема установки» может возникать, если раннее ПК был введен в домен AD с использованием winbind.

   Решение: выполнить следующие команды:

   Ошибка: «Your account has been locked. Please contact your System administrator»

   Причина: пользователь заблокирован на контроллере домена AD.

   Решение: разблокировать доменного пользователя на контроллере домена AD.

   Ошибка «Не могу войти в домашний каталог. Временный каталог будет использован»

   Причина: компьютер ранее вводился в домен разными способами (winbind или sssd).

   • Проверить настройку PAM-стека;
   • Временно перенести папку .fly из домашнего каталога проблемного пользователя в любое удобное место;
   • При использовании Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) установить обновление БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7), где исправлена данная ошибка.

   ПК вводится в домен, но не создаются и не обновляются DNS записи при использовании sssd

   Причина: для динамического обновления записей DNS необходима утилита nsupdate (содержится в пакете dnsutils), не устанавливаемом по умолчанию.

   Решение: установить пакет dnsutils:

   Источник

   Клиент не подключается к домену

   Клиент не подключается к домену через f ly-admin-ad-client , astra-winbind или astra-ad-sssd-client .

   Диагностика

   • Проверить список доменов на экране входа — будут отображаться домены, которые пользователю не нужны.
     При попытке входа в нужный домен выводится ошибка вида:

   Возможная причина: Большое число дочерних доменов . Перейти к решению.

   Failed to join domain: failed to lookup DC info for domain '' over rpc: The request is not supported

   Возможная причина: Запрещена NTLM-аутентификация на контроллере домена . Перейти к решению.

   "Couldn't get kerberos ticket for: user@xxxxxxxxxx: KDC reply did not match expectations"

   Возможная причина: Имя домена указано в нижнем регистре . Перейти к решению.

   Bad SMB2 signature for message [0000] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 . . [0000] DB E7 09 DA 72 82 F9 CC D3 0E 4C 0A 11 3C 89 70 . r. ..L.. A process has requested access to an object but has not been granted those access rights.

   Возможная причина: Один IP-адрес у контроллера домена и клиента . Перейти к решению.

   Failed to join domain: failed to lookup DC info for domain 'windom.loc' over rpc: The transport connection has been reset. ! Joining the domain windom.loc failed realm: Не удалось присоединиться к области: Joining the domain windom.loc failed проблемы установки. подробности в файле /var/log/realmd-install.log

   Get-SmbServerConfiguration

   Источник