tokata
2 Iron

IsilonのAD Join時のMachine Accountについて

Isilon(OneFS 8.2.0.0)にて、AD Joinを実施した時、
通常、Machine Accountは「<クラスタ名>$」になると認識しております。

しかし、お客様環境でAD Joinを実施したところ、
Machine Accountが下記のようになりました。

 <クラスタ名>-YX1YRE$

Joinする時は下記のようにしておりました。
 ・Joinする前に、AD側にコンピュータオブジェクト(クラスタ名)を事前登録
 ・上記コンピュータオブジェクトは、デフォルト(Computers)以外のOUに登録しているため、
  Join時にOUを指定。
 ・Join時のMachine Accountは、デフォルト(何も記載していない)を指定。

Join完了後、AD側には、同じOUの下に事前に作成したコンピュータオブジェクトとは別に
Machine Account名($なし)のコンピュータオブジェクトが作成されておりました。

当方の検証環境では、AD側に事前にコンピュータオブジェクトを登録していても、
AD Joinする時のユーザによって上書き、または、Join失敗ということはあったのですが、
Joinできた上にMachine Accountが変わる、ということはありませんでした。

何が原因でMachine Accountが変更されたか分かりますでしょうか?

なお、今のところ、この状態で使用していても問題なさそうです。

また、SPNの登録は、コマンドで実施して問題なく完了しております。

ご確認を宜しくお願い致します。

 

ラベル(1)
タグ(1)
0 件の賞賛
2件の返信2
モデレーター
モデレーター

Re: IsilonのAD Join時のMachine Accountについて

tokataさん

残念ながら今回の動作仕様について明記されているものは見つけることが出来ませんでした。ただ、記載して頂いた内容の中で気になる点があるとすると、「Join時のMachine Accountは、デフォルト(何も記載していない)を指定。」の部分でしょうか。
何も記載していない場合には、クラスタ名が自動で利用されてADに登録されることを想定して今回は記載しなかったのであると考えていますが、Machine Account名としてきちんとクラスタ名を指定(もしろんOUも指定)してADにJoinすると動作が変わる可能性はありそうです。

とはいえ、現状でも問題なく希望されているOU配下で動作(ADが認識)しているようなので、特に設定をし直す必要はなさそうですが。。

0 件の賞賛
tokata
2 Iron

Re: IsilonのAD Join時のMachine Accountについて


Uehara Y.さん

返事が遅くなって申し訳ございません。

やはり情報はないですか・・・。

事前に登録したコンピュータオブジェクト(クラスタ名)の権限や、
Joinする時のユーザの権限の条件によって
Machine Accountが自動作成されたのではないかと考え、試してみたのですが、
現時点では自動作成されることはない状況です。

ちなみに、Isilonが参照するDNSサーバは、ADサーバとは別のサーバ(Linux?)で複数作成されており、
ドメイン名も違っております(DNSのフォワーダ設定はされています)。

また、Joinが完了するまでに1分近く掛かっていたので、
その辺も関係しているかもしれません。

とりあえず様子見にするしかないですね。

 

タグ(1)
0 件の賞賛