Домен даних: Користувачі Active Directory не можуть адмініструвати домен даних через SSH або через Enterprise Manager

Summary: Користувачі Active Directory не можуть адмініструвати систему DataDomain за допомогою свого облікового запису AD, якщо глобальний контролер кореневого домену лісу перебуває в автономному режимі або з ним неможливо зв'язатися. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Користувачі, які належать до того самого основного домену Active Directory, що й домен даних, або належать до довіреного домену в тому ж лісі, не можуть отримати доступ до системи через SSH або через Enterprise Manager, якщо глобальний каталог кореневого домену лісу автономний або до нього не можна отримати доступ із домену даних.

 

Cause

Перше, що потрібно перевірити, це перевірити, чи користувачам з обліковим записом Active Directory надано дозвіл на доступ до системи Data Domain через SSH.

Це досягається виконанням команди: # AdminAccess Authentication Додати CIFS

Якщо після виконання вищезазначеної команди користувачі все ще не можуть увійти в систему, може статися так, що глобальний каталог для домену forest root вимкнений або недоступний (за брандмауером) із системи Data Domain.

У номенклатурі Active Directory ліс — це набір доменів, які довіряють один одному. Глобальний каталог — це сервер контролера домену, який підтримує часткову копію кожного домену в лісі, доступну лише для читання, і використовується, серед іншого, для універсального групового зберігання та обробки входу в систему. 

З іншого боку, перший домен, який ви розгортаєте в лісі Active Directory, називається кореневим доменом лісу.

Цей домен залишається кореневим доменом лісу протягом життєвого циклу розгортання AD DS. Кореневий домен forest містить групи Enterprise Admins і Schema Admins. 

Причина, через яку Data Domain намагається зв'язатися з глобальним каталогом для домену forest root, полягає в тому, щоб включити інформацію про членство в групу Universal у токени користувача.

 

Resolution

Якщо звернення до глобального сервера каталогу лісового кореневого домену з Data Domain є проблемою, і потрібно враховувати членство в універсальних групах, є опція в DD OS 5.7.4 і DD OS 6.0.1, яка відключає вимогу щодо можливості запиту глобального каталогу домену forest root.

Цей варіант є:

 # cifs опція set global-catalog-query-disable true
 
Ви можете підтвердити, що опція тоді правильно встановлена за допомогою команд:

# cifs опція показати
 
Після додавання опції вам потрібно перезапустити cifs за допомогою команди
 
# cifs restart force
 

Additional Information

Це описано в примітках до випуску DD OS 5.7.4.0 тут

165968 У цьому випуску додано можливість уникати глобального запиту до каталогу під час автентифікації користувача. В іншому випадку автентифікація користувача Active Directory може не спрацювати, якщо глобальний сервер каталогу лісового кореня перебуває в автономному режимі

Affected Products

Data Domain

Products

Data Domain
Article Properties
Article Number: 000051900
Article Type: Solution
Last Modified: 29 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.