none
Trust tra domini con server 2008 RRS feed

  • Domanda

  • Un saluto a tutti,

    ho un problema ad effettuare un trust tra due domini, dello stesso gruppo di azienda, dal server del dominio A ho creato nel gestore DNS in zona di ricerca diretta  una nuova zona con il nome del dominio B ed ho inserito l'ip del server, stessa procedura dal dominio B. Poi ho avviato la procedura guidata domini e trust di AD e ho cercato di far comunicare in tutti i modi qusti due domini ma senza alcun esito. Le risposte sono, impossibile contattare il server, server non pronto o errore di rete ecc. Dovè che sbaglio?? Credo nella configurazione del  DNS??

     

    martedì 5 ottobre 2010 16:41

Risposte

  • Se hai la possibilità di risolvere reciprovamente il DNS fra un dominio e l'altro, secondo me ti servirebbe una zona "stub" nel dominio A che punti per la zona "dominio B" ad un DNS del dominio B e una zona stub nel dominio B che punti per la zona "dominio A" ai DNS del dominio A

    http://www.windowsnetworking.com/articles_tutorials/DNS_Stub_Zones.html


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    mercoledì 6 ottobre 2010 08:31

Tutte le risposte

  • dal domain controller del dominio A prova a lanciare un

    nslookup [nomeserverdeldominioB].[dominioB].[local]

    e riporta qui l'esito.

    esegui la medesima cosa sul domain controller del dominio B e riporta anche di qeusto l'esito.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 6 ottobre 2010 07:54
    Moderatore
  • Se hai la possibilità di risolvere reciprovamente il DNS fra un dominio e l'altro, secondo me ti servirebbe una zona "stub" nel dominio A che punti per la zona "dominio B" ad un DNS del dominio B e una zona stub nel dominio B che punti per la zona "dominio A" ai DNS del dominio A

    http://www.windowsnetworking.com/articles_tutorials/DNS_Stub_Zones.html


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    mercoledì 6 ottobre 2010 08:31
  • Ho lanciato il comando nslookup, come descritto da Edoardo, la risposta da entrambi i DC è la seguente:

    PS C:\Users\Administrator> nslookup server1spa.dominioB.local
    1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
            primary name server = 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
            responsible mail addr = (root)
            serial  = 0
            refresh = 28800 (8 hours)
            retry   = 7200 (2 hours)
            expire  = 604800 (7 days)
            default TTL = 86400 (1 day)
    Server:  UnKnown
    Address:  ::1

    Risposta da un server non autorevole:
    Nome:    server1spa.dominioB.local
    Address:  192.168.1.158

    PS C:\Users\Administrator>

    mercoledì 6 ottobre 2010 09:26
  • Ho lanciato il comando nslookup, come descritto da Edoardo, la risposta da entrambi i DC è la seguente:

    PS C:\Users\Administrator> nslookup server1spa.dominioB.local
    1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa

    cos'è 'sta roba ?

    esegui un nslookup del dc del dominio A su se stesso e posta il risultato.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 6 ottobre 2010 10:21
    Moderatore
  • Eccolo qua:

    PS C:\Users\Administrator.DominioA> nslookup server2spa.dominioa.local
    1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
            primary name server = 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
            responsible mail addr = (root)
            serial  = 0
            refresh = 28800 (8 hours)
            retry   = 7200 (2 hours)
            expire  = 604800 (7 days)
            default TTL = 86400 (1 day)
    Server:  UnKnown
    Address:  ::1

    Nome:    server2spa.dominioa.local
    Address:  192.168.1.159

    PS C:\Users\Administrator.DominioA>

     

    mercoledì 6 ottobre 2010 18:19
  • Scusa Mikypec, ma state usando una rete IP V6 e vuoi farla parlare con una rete IP v4 ?

    Se è così la cosa non è banale.

    Che IP address hanno i domain controller dei due domini ?


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    giovedì 7 ottobre 2010 10:05
  • Scusa Mikypec, ma stati usando una rete IP V6

    ecco cos'è la roba :-)
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    giovedì 7 ottobre 2010 10:11
    Moderatore
  • ecco cos'è la roba :-)


    Il che spiegherebbe anche "e ho cercato di far comunicare in tutti i modi qusti due domini ma senza alcun esito. "

    Senza meccanismi come 6to4 o 6over4 o almeno un gateway, la vedo DURISSIMA.


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    giovedì 7 ottobre 2010 10:16
  • Ragazzi, francamente non so perchè vien fuori quell'indirizzo IPv6, i du DC come tutta la rete comunica con IPv4, sono sulla stessta classe di IP 192.168.1.x, dislocati in due edifici collegati tra loro con un ponte wifi.

     

    giovedì 7 ottobre 2010 12:43
  • I due domain controller si pingano fra di loro ?

    Hai provato a creare le zone stub come ti ho suggerito ?


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    giovedì 7 ottobre 2010 12:45
  • Ragazzi, francamente non so perchè vien fuori quell'indirizzo IPv6, i du DC come tutta la rete comunica con IPv4, sono sulla stessta classe di IP 192.168.1.x, dislocati in due edifici collegati tra loro con un ponte wifi.

     


    puoi postare un ipconfig /all di entrambi i dc ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    giovedì 7 ottobre 2010 13:01
    Moderatore
  • Ciao!

    Se non stai usando IPv6 [ATTENZIONE, NON DEVI AVERE INSTALLATO EXCHANGE 2007 o 2010 su quelle macchine (i DC)!!!!!], fai:

    • start->esegui->ncpa.cpl
    • clickDX sulla connessione di rete in uso->proprietà
    • togli la spunta a "protocollo internet (IPv6)"
    • controlla che nelle proprietà dell'IPv4 della scheda di rete di ogni controller di dominio che è DNS ci sia SOLO SE STESSO come server DNS e NESSUN ALTRO SERVER DNS.
    • fai questa operazione su tutti i DC+DNS servers

    POI:

    SE non hai problemi di connettività tra i due server, ti consiglio di utilizzare il conditional forwarding per far parlare i due domini l'uno con l'altro, così non hai zone di cui gestire/controllare il transfer:

    • start->esegui->dnsmgmt.msc
    • clickDX sul server DNS->proprietà
    • scheda server d'inoltro (o forwarders)
    • aggiungi il nome dell'altro dominio associato all'IP dell'altro controller di dominio (dell'altro dominio, ovvio).
    • fai questa operazione su tutti i DNS servers
    • riprova la risoluzione dei nomi, se va tutto OK riprova il trust.

    POI:

    • posta un ipconfig /all di tutte e 2(?) le macchine 
    • spiegaci com'è l'infrastruttura di rete che collega i due domini.
    • dicci: che tipo di trust stai cercando di fare? (intra/extra FOREST? mono/bi direzionale? shortcut trust, external trust, forest trust, o .......?)

     

    con queste info, se non hai già risolto, ti riusciamo ad aiutare meglio

    Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    giovedì 7 ottobre 2010 15:07
  • Con queste indicazioni di Fabrizio Volpe: "Se hai la possibilità di risolvere reciprovamente il DNS fra un dominio e l'altro, secondo me ti servirebbe una zona "stub" nel dominio A che punti per la zona "dominio B" ad un DNS del dominio B e una zona stub nel dominio B che punti per la zona "dominio A" ai DNS del dominio A"

    Ho risolto il problema, infatti dopo aver creato nei due DC una zona "stub" con i reciproci IP, ho lanciato la configuraizone guidata dei domini trust, ed ho tutti e due i domini e riesco ad autenticare tutti gli utenti di entrambi i domini. Un solo problema mi è rimasto, sui client con windows vista o 7 non ho problemi ma sui client con windows XP pro quando loggo la macchina mi visualizza entrambi i domini ma quando faccio una ricerca tramite risorse di rete in ricerca active directory vedo solo il dominio di appartenenza, ripeto con le macchine Vista e 7 nessun problema, c'è un motivo? Si puo risolvere in qualche modo?

    Comunque un grazie a tutti per l'aiuto.

     

    giovedì 7 ottobre 2010 18:12
  • ma quando faccio una ricerca tramite risorse di rete in ricerca active directory vedo solo il dominio di appartenenza


    In genere si tratta di un problema legato a NetBIOS over TCP/IP.

    Verifica che sui clients XP sia abilitato (a titolo di esempio, guarda le schermate di questo articolo)

    http://www.petri.co.il/disable_netbios_in_w2k_xp_2003.htm


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    venerdì 8 ottobre 2010 07:43
  • Fabrizio ho provato ad abilitare nella scheda Wins NetBIOS over TCP/IP ma senza alun esito.

     

    venerdì 8 ottobre 2010 18:12
  • il servizio Computer Browsing è avviato su tutte le macchine della rete con avvio automatico ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    venerdì 8 ottobre 2010 18:20
    Moderatore
  • Ciao Edoardo, ho verificato è attivo su tutte le macchine il servizio e si avvia automaticamente.

     

    lunedì 11 ottobre 2010 09:47
  • Ciao Edoardo, ho verificato è attivo su tutte le macchine il servizio e si avvia automaticamente.

     


    c'è per caso uno o più firewall attivi tra i due domini ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 11 ottobre 2010 11:42
    Moderatore
  • Prova a fare le verifiche indicate in questo articolo, specie per la parte netbios / netview

    http://support.microsoft.com/kb/300986/en-us


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    lunedì 11 ottobre 2010 13:27