Data Domain: Active Directory-gebruikers kunnen Data Domain niet beheren via SSH of Enterprise Manager

Gebruikers die tot hetzelfde primaire Active Directory-domein behoren als het Data Domain, of die behoren tot een vertrouwd domein in hetzelfde forest, hebben geen toegang tot het systeem via SSH of Enterprise Manager, als de algemene catalogus voor het foresthoofddomein offline is of niet toegankelijk is vanuit het Data Domain.

 

Het eerste dat u moet controleren, is controleren of de gebruikers met een Active Directory-account toestemming hebben gekregen om toegang te krijgen tot het Data Domain-systeem via SSH.

Dit wordt bereikt door het uitvoeren van de opdracht: # adminaccess authentication add cifs

Als de gebruikers zich na het uitvoeren van de bovenstaande opdracht nog steeds niet kunnen aanmelden, kan het zijn dat de globale catalogus voor het forestrootdomein offline is of niet bereikbaar is (achter een firewall) vanuit het Data Domain-systeem.

In de Active Directory-nomenclatuur is een forest een verzameling domeinen die elkaar vertrouwen. Een Global Catalog is een domeincontrollerserver die een gedeeltelijke, alleen-lezen kopie van elk domein in het forest onderhoudt en wordt onder andere gebruikt voor universele groepsopslag en aanmeldingsverwerking. 

Aan de andere kant wordt het eerste domein dat u implementeert in een Active Directory-forest het forest-hoofddomein genoemd.

Dit domein blijft het foresthoofddomein gedurende de levenscyclus van de AD DS-implementatie. Het foresthoofddomein bevat de groepen Enterprise Admins en Schema Admins. 

De reden waarom Data Domain contact probeert op te nemen met de globale catalogus voor het hoofddomein van het forest, is om de lidmaatschapsgegevens van de universele groep op te nemen in de gebruikerstokens.

 

Als het probleem is om vanuit het Data Domain contact op te nemen met de globale catalogusserver van het foresthoofddomein en er geen lidmaatschappen van universele groepen zijn die moeten worden overwogen, is er een optie in DD OS 5.7.4 en DD OS 6.0.1 die de vereiste uitschakelt om query's te kunnen uitvoeren op de globale catalogus van het foresthoofddomein.

Deze optie is:

 # cifs option set global-catalog-query-disable true
 
U kunt controleren of de optie dan correct is ingesteld met de opdrachten:

# cifs option show
 
Nadat u de optie hebt toegevoegd, moet u cifs opnieuw opstarten met de opdracht
 
# cifs restart force
 

Dit wordt hier behandeld in de releaseopmerkingen

voor DD OS 5.7.4.0 165968 Deze release voegt een optie toe om globale catalogusquery's tijdens gebruikersauthenticatie te voorkomen. Anders kan Active Directory-gebruikersverificatie mislukken als de globale catalogusserver van het foresthoofddomein offline is