locked
NO_TRUST_SAM_ACCOUNT em uma relação de confiança. RRS feed

  • Pergunta

  • Olá,

    Tenho alguns controladores de domínio legado em windows 2000, onde existe uma relação de confiança com diversos outros domínios que variam entre windows 2000 e 2003.

    Criando a relação de confiança tanto pela GUI como por linha de comando:

    netdom trust dominio2.com.br /Domain:dominio1.com.br /UD:contadominio /PD:senhadominio /UO:contadom2 /PO:senhadom2 /Add /Twoway

    Ele cria a relação, porém na hora de verificar a relação, com o comando:

     

    netdom trust dominio2.com.br /Domain:dominio1.com.br /UD:contadominio /PD:senhadominio /UO:contadom2 /PO:senhadom2 /Verify

    Ele falha com o erro: "The security database on the server does not have a computer account for this workstation trust relationship".

     

    E verificando com a ferramenta getsid, verifiquei que após a relação estabelecida, o DC do dominio1 não tem a conta do computador que é o DC do dominio2, e testando com outros dominios q tem relação de confiança, essa conta existe.

    Pesquisando no ADSIEdit, unico lugar que encontrei registros relativos a conta de relações de confiança, foi no "CN=System", mas o registro com Class "trustedDomain" desse dominio defeituoso existe, e não encontrei nada de anormal nele.

    Ambos os servidores tem outras relações de domínio que funcionam sem problemas.

    Já verifiquei e até refiz o DNS para certificar que não é ele.

    E o comando:

    nltest /sc_query:dominio2.com

    Retorna Status = 1787 0x6fb ERROR_NO_TRUST_SAM_ACCOUNT

    Alguem tem ideia de onde procurar sobre a criação desse tipo de conta?

     

    Grato.

    quinta-feira, 23 de dezembro de 2010 17:26

Todas as Respostas

  • Samuel,

     

    qual o nivel da floresta e do dominio?

    foram feitos testes de replicaçao? como esta?


    Thiago Cardoso Luiz - MCSA W2k3 MCTS SQL ITIL MSP http://t-cardoso.blogspot.com/ Caso seja util VOTE e COLOQUE COMO RESPOSTA
    terça-feira, 28 de dezembro de 2010 18:08
  • Samuel,

    bom dia.

    Conforme encontrei:

     

    "Basicamente isso significa que a conta do computador para
    o BDC do domínio está ausente. No servidor
    Gerenciador de clique no modo de exibição \ mostrar membros do domínio
    em seguida, verificar e ver se o computador são responsáveis por
    o BDC é listado. Permitindo mostrar domínios
    Membros fará com que o Gerenciador de servidor para usar o SAM
    para enumerar a lista. De qualquer maneira que você pode querer
    Renomeie o BDC e excluir a conta antiga e
    recriar a conta do computador e renomeie o BDC
    Voltar. O truque é criar a nova conta para o
    BDC no Gerenciador do servidor antes de alterar o nome."

    Gilberto Soares Lopes
    quinta-feira, 30 de dezembro de 2010 12:01