AD DC op Fedora 39, kan niet de AD openen in Win 11

ElCondor schreef op maandag 15 januari 2024 @ 11:30:
Mijn donkerbruine vermoeden is dat een AD installatie op Fedora niet een MS 'gecertificeerde' AD omgeving is. Je kunt de standaard zaken zoals accounts aanmaken en wachtwoorden resetten en rechten uitdelen wel doen, maar de MS RSAT tools daarop gebruiken zal niet kunnen.

Wat ook nog zou kunnen is dat je in je DNS nog een service endpoint voor je AD moet definiëren.
Chrony is blijkbaar een NTP server en je hebt inderdaad een goede tijdshuishouding op je domein nodig om Kerberos tickets goed te kunnen gebruiken. Als een token/ticket verloopt of en paar secondes out-of-sync loopt dan zal het niet werken.

AD installatie op een Windows omgeving doet dit allemaal voor je en Linux zal daar altijd een beetje achteraan lopen, omdat ze alles moeten reverse engineeren om het te laten werken. Ik denk dat het een leuk leer proces is om dit helemaal zelf in de benen te helpen, maar ik zou het niet voor productie gebruiken, of als je haast hebt. Kan ook goed zijn dat als MS een update uitbrengt dat je hard aan de bak moet om alles weer werkend te krijgen, mocht er wat om vallen. Voordeel is wel dat je ongelovelijk veel kennis op doet van de werking vn AD en Kerberos onder de motorkap (Been there, done that. )

ElCondor schreef op maandag 15 januari 2024 @ 12:31:
Hmmm, kinit en klist, zijn echt Linux commando's, het gaat hier namelijk om een Kerberos service die daarmee getest wordt. MSAD is een specifieke smaak van Kerberos.

Wat heb je precies in de DNS staan? Zijn er _Kerberos en _LDAP service records? (Ik vermoed van wel, want kinit en klist zullen hier ook gebruik van maken, denk ik).
Ik zit op dit moment op werk en kan die YouTube niet bekijken, maar ik zal eens snuffelen als ik thuis ben.
Als het inderdaad lukt op Ubuntu, dan zou ik denken dat het op RHEL ook wel moet lukken.

Hoe oud is de video? Maakt hij ook gebruik van Win11?
Wat ik al zei, als een video krap een jaar oud is, kan het zijn dat specifieke functies of versies van Win11, Kerberos, of de linux binaries om dit voor elkaar te krijgen alweer niet compatible met elkaar zijn. Ik heb bijvoorbeeld wel een Windows Domein draaien en daaraan gejoinede Linux stations, maar die hebben ook wel eens een paar weken niet kunnen aanloggen omdat er een patch was geïnstalleerd op het domein, waardoor de Linux Kerberos client er niet meer mee uit de voeten kon. Duurt dan een paar dagen, of als je pech hebt, een paar weken voordat het weer gaat werken.

Het bereiken van mijn DFS-share vanaf een linux station heb ik daarom ook opgegeven. Met geen mogelijkheid wil hij DFS-share resolven, alleen als ik een unc-pad \\fileserver\share gebruik in plaats van \\domain.local\dsf-share