[samba-jp:20790] ADのDCが他のセグメントにある時のドメイン参加方法

[OPC oota]

太田@NECです。

ADのDCが他のセグメントにあって、そこにSambaを参加させるとき、
そのAD DCがDNSもWINSもサポートしていない場合どうしたらいいか、
というご相談です。


今、あるADのDCが別セグメントにあります。Sambaを security = ads
にして、/etc/krb5.confやsmb.conf等を適切に設定すれば、普通なら
ドメインに参加できるはずです。手元の評価環境でもうまくいっています。

ただ、本番環境だと、 net ads testjoin はうまくいきますが、実際に
net ads joinしてみると、

Failed to join domain: failed to set machine spn: Constraint violation

というエラーが出てjoinに失敗します。これは、

http://www.mail-archive.com/samba@lists.samba.org/msg97754.html

のスレッドで、

http://www.mail-archive.com/samba@lists.samba.org/msg97844.html

で言及されているように、ADに対してDNS名の登録権限がないからではないかと
思っています。

#なお http://www.mail-archive.com/samba@lists.samba.org/msg97855.html は嘘です。
#そんなパラメータないです。

その場合、 security = domain にしろと言うことですが、
ADのDCが別セグメントなので、 net rpc testjoin すると

Join to domain 'XXX' is not valid: NT_STATUS_UNSUCCESSFUL

となります。この時点で net lookup dc では IPアドレスが帰っては来るんですが。

lmhostsは設定してみましたが、net rpc ではlmhostsを見に行かないので、
意味がありませんでした(straceで調べてみました)。

さて、何かいい方法はあるでしょうか。