You are on page 1of 3

OS X og Microsoft Active Directory

En netvrkskontobruger kommer sjldent alene


En klog mand jeg snakkede med, jokede engang omkring at en af grundende til at mange
mennesker er s glade for Apples computere er at Mac er lavet til slutbrugeren hvorimod
Windows er lavet til systemadministratoren.
Der har altid vret en vis sandhed i dette, for de fleste systemadministratorer er jo netop meget
gladere for Windows da de er meget nemmere at hndtere i hje antal end Mac'erne er.
Men Apple har nu lnge inkluderet muligheden for at melde deres computere ind i Active Directory
og derigennem f nogle af de fordele der er ved et windowsmilj med p Mac'en, og omkring
Snow Leopard kom det rent faktisk til at fungere s godt at det var brugbart i strre miljer.

Det binder ikke rigtigt!


Alligevel giver det tit problemer og mange opgiver. Derfor prver vi at kigge p hvad der skal til for
at melde en OS X computer ind i et windows domne og p nogle af de ting der oftest gr galt.
Skal du melde en OS X computer ind i et windows domne gres det under

> System Preferences > Users & Groups > Login > Join

Efter du har godkendt som administrator kan du skrive dit domne ind. Og her kommer en
afgrende faktor ind. Nr du har skrevet adressen ind kan man se den lille spinner kre. Nr den
er frdig skal der meget gerne komme en godkendelsesboks frem. Hvis ikke der gr det, s er der
allerede noget galt nu.

Det drejer sig ofte om DNS der er gal p den ene eller anden mde, men lsningerne gemmer vi
lige til sidst.

Hvis AD Settings menuen kommer frem skriver du din AD administrators brugenavn og password,
og hvis alt gr vel er du lidt senere meldt ind, og kan nu logge p med netvrksbrugere fra dit AD

Windows DHCP og reverse DNS


Hvis processen ikke krer som ovenfor, vil den ofte g i str allerede nr du har skrevet adressen
p din Domain Controller. Der kommer simpelthen ikke flere valgmuligheder frem, og hvis du
klikker p Advanced og selv fylder informationerne i fejler indmeldingen.
Fejlen vil ofte skyldes at Mac er meget krsen med reverse DNS (herefter PTR). P ldre servere
er der et par ekstra indstillinger der kan laves, s DHCP serveren ikke holde for lnge fast i PTR
records og i sin DHCP leases. Hvis ikke sker der undertiden det at man prve at melde en Mac ind
med et IP nummer som DHCP serveren har en DNS eller PTR record liggende for. i forvejen. I
vrste fald kan Mac'en ikke meldes ind, og nogle tilflde fr den tildelt det navn som DHCP
serveren har liggende i forvejen.

Lsninger
For det frste m jeg nvne at Windows 2012 efter min erfaring er blevet bedre til at styre dette,
og problemet opstr sjldent med nyopsatte servere. Det er frst nr en server har stet lnge og
krt og har en masse records liggende.
Et par tweaks kan hjlpe med dette problem. I korte trk glde det om at holde sine DNS og
PTR-records opdateret. Du kan ogs vlge at lave et seperat scope til Mac'erne eller give dem
statiske adresser, men det er ikke altid den bedste (eller p nogen mde nemmeste) lsning.

P din DHCP server skal du ind under Properties og IPv4 og under "Enable DNS dynamic
updates according to the settings below:" srg for der er flueben ved:

Always dynamically update DNS A and PTR records",

"Discard A and PTR records when lease is deleted" og

"Dynamically update DNS A and PTR records for DHCP clients that do not
request updates"

Sidst men ikke mindst skal du sl DNS scavenging til s der bliver ryddet op i gamle PTR records.
Hvis det ikke er gjort p serveren fra starten kan der godt godt noget galt, s det er en go ide at
backe sine zoner op. Her er en go guide til bde at backup up og finde de bedste indstillinger p
DNS scavenging.
Sidst men ikke mindst kan du selvflgelig g ind i DHCP eller Reverse Lookup Zonen og slette den
record der driller hvis du str man en specifik IP adresse der ikke vil tillade indmelding.

Walking in a Windows Wonderland


Udover at gre det muligt at logge p med de ansattes AD brugere (det kan betale sig at lade dem
gemme home directory lokalt p maskinerne ogs) kan man bruge AD-binding med OS X Servers
Profile Manager der tillader styring af iOS og OS X enheder og p den mde anvende brugere og
grupper fra firmaets Active Directory.