Data Domain: Los usuarios de Active Directory no pueden administrar Data Domain a través de SSH o Enterprise Manager

Summary: Los usuarios de Active Directory no pueden administrar un sistema DataDomain mediante su cuenta de AD si la controladora global del dominio raíz del bosque está offline o no se puede acceder a ella. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Los usuarios que pertenezcan al mismo dominio de Active Directory primario que el Data Domain, o que pertenezcan a un dominio de confianza en el mismo bosque, no podrán acceder al sistema mediante SSH o Enterprise Manager si el catálogo global para el dominio raíz del bosque está offline o no se puede acceder a él desde Data Domain.

 

Cause

Lo primero que se debe verificar es comprobar si a los usuarios con una cuenta de Active Directory se les otorgó permiso para acceder al sistema Data Domain a través de SSH.

Esto se logra mediante la ejecución del comando: # adminaccess authentication add cifs

Si después de emitir el comando anterior, los usuarios aún no pueden iniciar sesión, puede suceder que el catálogo global para el dominio raíz del bosque esté offline o no se pueda acceder a él (detrás de un firewall) desde el sistema Data Domain.

En la nomenclatura de Active Directory, un bosque es una colección de dominios que confían entre sí. Un catálogo global es un servidor de controladora de dominio que mantiene una copia parcial de solo lectura de cada dominio del bosque y se utiliza para el almacenamiento de grupos universales y el procesamiento de inicio de sesión, entre otras cosas. 

Por otro lado, el primer dominio que se implementa en un bosque de Active Directory se denomina dominio raíz del bosque.

Este dominio sigue siendo el dominio raíz del bosque durante el ciclo de vida de la implementación de AD DS. El dominio raíz del bosque contiene los grupos Enterprise Admins y Schema Admins. 

El motivo por el que Data Domain intenta ponerse en contacto con el catálogo global para el dominio raíz del bosque es para incluir la información de pertenencia al grupo universal en los tokens de usuario.

 

Resolution

Si comunicarse con el servidor del catálogo global del dominio raíz del bosque desde Data Domain es un problema y no hay membresías a grupos universales que deban tenerse en cuenta, hay una opción en DD OS 5.7.4 y DD OS 6.0.1 que deshabilita el requisito para poder consultar el catálogo global del dominio raíz del bosque.

Esta opción es:

 # cifs option set global-catalog-query-disable true
 
Puede confirmar que la opción está configurada correctamente con los comandos:

# cifs option show
 
Después de agregar la opción, debe reiniciar cifs con el comando
 
# cifs restart force
 

Additional Information

Esto se describe en las notas de la versión de DD OS 5.7.4.0 aquí

165968 Esta versión agrega una opción para evitar la consulta de catálogo global durante la autenticación del usuario. De lo contrario, la autenticación de usuarios de Active Directory puede fallar si el servidor de catálogo global del dominio raíz del bosque está offline

Affected Products

Data Domain

Products

Data Domain
Article Properties
Article Number: 000051900
Article Type: Solution
Last Modified: 29 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.