25.7.6. Verificando a configuração de confiança no AD

Após configurar a confiança, verifique isso:

  • Os serviços de Gerenciamento de Identidade (IdM) são resolvidos a partir do servidor do Active Directory (AD).
  • Os serviços AD são resolvidos a partir do servidor AD.

Pré-requisitos

  • Você precisa estar logado com privilégios de administrador.

Procedimento

  1. No servidor AD, configure o utilitário nslookup.exe para consultar os registros de serviço.

    C:\>nslookup.exe
    > set type=SRV
  2. Digite o nome de domínio para os Kerberos sobre UDP e LDAP sobre os registros de serviço TCP.

    > _kerberos._udp.idm.example.com.
    _kerberos._udp.idm.example.com.       SRV service location:
        priority                = 0
        weight                  = 100
        port                    = 88
        svr hostname   = server.idm.example.com
    > _ldap._tcp.idm.example.com
    _ldap._tcp.idm.example.com       SRV service location:
        priority                = 0
        weight                  = 100
        port                    = 389
        svr hostname   = server.idm.example.com
  3. Mude o tipo de serviço para TXT e execute uma consulta DNS para o registro TXT com o nome do domínio IdM Kerberos.

    C:\>nslookup.exe
    > set type=TXT
    > _kerberos.idm.example.com.
    _kerberos.idm.example.com.        text =
    
        "IDM.EXAMPLE.COM"
  4. Execute uma consulta DNS para os Kerberos MS DC sobre os registros de serviço UDP e LDAP sobre os registros de serviço TCP.

    C:\>nslookup.exe
    > set type=SRV
    > _kerberos._udp.dc._msdcs.idm.example.com.
    _kerberos._udp.dc._msdcs.idm.example.com.        SRV service location:
        priority = 0
        weight = 100
        port = 88
        svr hostname = server.idm.example.com
    > _ldap._tcp.dc._msdcs.idm.example.com.
    _ldap._tcp.dc._msdcs.idm.example.com.        SRV service location:
        priority = 0
        weight = 100
        port = 389
        svr hostname = server.idm.example.com

    Espera-se que o comando liste todos os servidores IdM nos quais o utilitário ipa-adtrust-install foi executado. Para detalhes sobre ipa-adtrust-install, veja Preparando o servidor IdM para a confiança. Note que a saída está vazia se ipa-adtrust-install não tiver sido executado em nenhum servidor IdM, o que é normalmente antes de estabelecer a primeira relação de confiança.

  5. Verificar se os serviços AD são resolvidos a partir do servidor AD.

    C:\>nslookup.exe
    > set type=SRV
  6. Digite o nome de domínio para os Kerberos sobre UDP e LDAP sobre os registros de serviço TCP.

    > _kerberos._udp.dc._msdcs.ad.example.com.
    _kerberos._udp.dc._msdcs.ad.example.com. 	SRV service location:
        priority = 0
        weight = 100
        port = 88
        svr hostname = addc1.ad.example.com
    > _ldap._tcp.dc._msdcs.ad.example.com.
    _ldap._tcp.dc._msdcs.ad.example.com. 	SRV service location:
        priority = 0
        weight = 100
        port = 389
        svr hostname = addc1.ad.example.com