time skew при настройке подключения в домен AD
По моему одной из самых распространенных проблем при подключении файлера NAS в сеть домена AD является проблема с неверно выставленным временем и/или неверным часовым поясом.
Корень проблемы кроется в том, что для аутентификации в домене AD, член домена (в нашем случае – файлер NetApp) использует Kerberos, тикеты которого помечаются временем их выпуска, и если время на компьютере, включающемся в домен, и контроллере домена не совпадают более чем на 15 минут (так называемый “time skew”), то тикет Kerberos “протухает”, аутентификация не проходит, и соединение с доменом не может быть выполнено.
Поэтому, если вы столкнулись со странным поведением файлера NetApp при подключении его в домен Active Directory, ошибками в логах и так далее, первым делом проверьте ситуацию с установленным временем на файлере, правильность синхронизации с локальным NTP (обычно локальным NTP в домене является контроллер домена), правильность выставленной Time Zone (идентичной между установкой файлера и установкой контроллера домена) и отсутствие “сдвига времени” между файлером и контроллером домена AD.