Data Domain : Les utilisateurs Active Directory ne peuvent pas administrer Data Domain via SSH ou via Enterprise Manager

Summary: Les utilisateurs Active Directory ne sont pas en mesure d’administrer un système DataDomain à l’aide de leur compte AD si le contrôleur global de domaine racine de forêt est hors ligne ou inaccessible. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Les utilisateurs appartenant au même domaine Active Directory primaire que le Data Domain, ou appartenant à un domaine de confiance dans la même forêt, ne peuvent pas accéder au système via SSH ou via Enterprise Manager, si le catalogue global du domaine racine de la forêt est hors ligne ou n’est pas accessible à partir du système Data Domain.

 

Cause

La première chose à vérifier consiste à vérifier si les utilisateurs disposant d’un compte Active Directory ont reçu l’autorisation d’accéder au système Data Domain via SSH.

Pour ce faire, exécutez la commande suivante : # adminaccess authentication add cifs

Si, après l’exécution de la commande ci-dessus, les utilisateurs ne peuvent toujours pas se connecter, il se peut que le catalogue global du domaine racine de la forêt soit hors ligne ou inaccessible (derrière un pare-feu) à partir du système Data Domain.

Dans la nomenclature Active Directory, une forêt est un ensemble de domaines qui se font confiance. Un catalogue global est un serveur de contrôleur de domaine qui conserve une copie partielle en lecture seule de chaque domaine de la forêt et qui est utilisé, entre autres, pour le stockage de groupe universel et le traitement des connexions. 

D’autre part, le premier domaine que vous déployez dans une forêt Active Directory est appelé domaine racine de la forêt.

Ce domaine reste le domaine racine de la forêt pour le cycle de vie du déploiement AD DS. Le domaine racine de la forêt contient les groupes Administrateurs d’entreprise et Administrateurs de schéma. 

La raison pour laquelle Data Domain tente de contacter le catalogue global pour le domaine racine de la forêt est d’inclure les informations d’appartenance au groupe universel dans les jetons utilisateur.

 

Resolution

Si vous rencontrez des problèmes pour contacter le serveur de catalogue global du domaine racine de la forêt à partir du système Data Domain, et qu’il n’y a pas d’appartenance à des groupes universels à prendre en compte, il existe une option dans DD OS 5.7.4 et DD OS 6.0.1 qui désactive la nécessité d’interroger le catalogue global du domaine racine de la forêt.

Cette option est :

 # cifs option set global-catalog-query-disable true
 
Vous pouvez confirmer que l’option est alors correctement définie avec les commandes :

# cifs option show
 
Après avoir ajouté l’option, vous devez redémarrer cifs avec la commande
 
# cifs restart force
 

Additional Information

Ce point est abordé dans les notes de mise à jour de DD OS 5.7.4.0 ici

165968 Cette version ajoute une option permettant d’éviter les requêtes globales dans le catalogue lors de l’authentification de l’utilisateur. Dans le cas contraire, l’authentification des utilisateurs Active Directory peut échouer si le serveur de catalogue global du domaine racine de la forêt est hors ligne

Affected Products

Data Domain

Products

Data Domain
Article Properties
Article Number: 000051900
Article Type: Solution
Last Modified: 29 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.