Я пытаюсь установить одностороннее доверие в своей лаборатории. LAB.local - это доверенный домен, а RED.local - доверенный домен. Условная переадресация настроена для обоих указателей друг на друга. DC01.LAB.local [10.32.1.1] разрешает и отвечает на DC01.RED.local [10.35.1.1] и наоборот.
Контроллеры домена запускают Server 2019 на разных отдельных хостах ESXi 6.5, каждый со своим собственным маршрутизатором pfSense с правилами брандмауэра, разрешающими все на IPv4. Брандмауэр ОС в настоящее время отключен, а сетевое расположение - домен.
Доверие создается графическим интерфейсом без каких-либо проблем:
Когда я пытаюсь добавить свою глобальную группу LAB.local в локальную группу RED.local из ADUC, работающего на DC01.RED.local, домен LAB.local виден, но при просмотре требуются учетные данные. После добавления и закрытия окна свойств группы я вижу только SID с сообщением: Некоторые имена объектов не могут быть показаны в их удобной для пользователя форме. Это может произойти, если объект находится во внешнем домене и этот домен недоступен для перевода имени объекта.
Когда я пытаюсь проверить свое доверительное отношение из окна ADDT, я получаю сообщение об ошибке: Безопасный канал ( SC) сброс на контроллере домена Active Directory \ DC01.RED.local домена RED.local в домен LAB.local завершился ошибкой: мы не можем войти в систему с этими учетными данными, потому что ваш домен недоступен. Убедитесь, что ваше устройство подключено к сети вашей организации, и повторите попытку. Если вы ранее входили в систему на этом устройстве с другими учетными данными, вы можете войти в систему с этими учетными данными.
Выполнение нескольких команд NLTEST:
C:\Users\REDAdmin>nltest /trusted_domains
List of domain trusts:
0: LAB LAB.local (NT 5) (Direct Outbound) ( Attr: quarantined )
1: RED RED.local (NT 5) (Forest Tree Root) (Primary Domain) (Native)
The command completed successfully
C:\Users\REDAdmin>nltest /dclist:red.local
Get list of DCs in domain 'red.local' from '\\DC01.RED.local'.
DC01.RED.local [PDC] [DS] Site: REDCorpBelgiumHQ
The command completed successfully
C:\Users\REDAdmin>nltest /dclist:lab.local
Get list of DCs in domain 'lab.local' from '\\DC01.LAB.local'.
You don't have access to DsBind to lab.local (\\DC01.LAB.local) (Trying NetServerEnum).
I_NetGetDCList failed: Status = 6118 0x17e6 ERROR_NO_BROWSER_SERVERS_FOUND
C:\Users\REDAdmin>nltest /server:dc01 /sc_query:lab.local
Flags: 0
Trusted DC Name
Trusted DC Connection Status Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
The command completed successfully
Кто-нибудь может сказать мне, что я делаю не так, пожалуйста?
Кажется, я нашел причину, по которой это не работало.
В своей лаборатории я использовал ту же политику именования, что и мои члены. Это привело к DC01 для каждого первого контроллера домена в каждой среде. Таким образом, в своем полном имени они все уникальны.
Однако Active Directory, похоже, использует Netbios несколько раз, и когда оба контроллера домена имеют одинаковое имя NETBIOS, это приводит к этим проблемам.
Чтобы исправить эту проблему. , Я понизил уровень своего контроллера домена RED.local, переименовал DC01 в RED-DC01, повысил его до контроллера домена, повторно создал свои лабораторные объекты AD, добавил условные серверы пересылки DNS и создал доверие. БАМ, проверка работает.
Я нахожу странным, что это требование для работы траста. DC01 кажется часто используемым именем для основного контроллера домена. Когда две компании объединяются, это может стать очень большой проблемой.