Не удаётся настроить доверительные отношения с Microsoft Active Directory
Если вам не удаётся настроить доверительные отношения с MS AD, то попробуйте предложенные варианты.
Если данная тема вам интересна, то занесите её в закладки (Ctrl + D), так как статья может пополняться.
Наличие диапазона идентификаторов для домена с тем же именем
Если в журнале вы наблюдаете строки вида:
ipa: ERROR: недопустимое "диапазон существует": Уже существует диапазон идентификаторов с тем же именем, но другим SID домена. Диапазон идентификаторов для нового доверенного домена необходимо создать вручную.
Попробуйте решение из статьи Наличие диапазона идентификаторов для домена с тем же именем.
Включена валидация записей DNS
Служба bind9 по умолчанию использует механизм DNSSEC для проверки ответов, но его лучше отключить, т. к. технология всё ещё не получила широкого распространения, а ошибки в настройках зон DNS могут приводить к невозможности разрешения имён.
Проверьте в файле /etc/bind/ipa-options-ext.conf значение опции dnssec-validation. Если оно не no, то попробуйте решение из статьи Включена валидация записей DNS.
Некорректное разрешение SRV-записей для доменов ALD Pro или MS AD
На контролере ALD Pro: dig SRV _ldap._tcp.windomain.dom
На контролере Microsoft Active Directory:
C:\> nslookup > set type=srv > _ldap._tcp.aldpro.test > quit
Если вы НЕ наблюдаете корректное преобразование, то попробуйте решение из статьи Некорректное разрешение SRV-записей для доменов ALD Pro или MS AD.
Произвольное NetBIOS имя домена ALD Pro при создании доверительных отношений с MS AD
Попробуйте решение из статьи Произвольное NetBIOS имя домена ALD Pro при создании доверительных отношений с MS AD.
Дополнительные материалы:
Оглавление всех вопросов и ответов ALD Pro.
