none
Active Directory - домены и доверие RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    Добрый день. Столкнулся с непонятным. Настраиваю доверительные отношения между двумя доменами. Оба домена в режиме 2008 R2, контроллеры - 2012 R2. Прошёл по инструкции все шаги по настройке ДНС -доп. зоны, уведомления. Nslookup отрабатывает нормально с каждого из двух контроллеров в обоих доменах. Дошёл до шага настройки самого доверия и что же я вижу? 

    Во-первых, вкладка называется не так, как в инструкции (Не "Доверие", а "Отношения доверия"), но то ладно, не суть. Хуже всего, что нет ни одной активной кнопки для создания записи о доверии домену. В верхней части что-то должно быть, но - нет. При попытке содать отношение доверия в нижней части окна результатом работы мастера становиться 

    Подскажите, пожалуйста, что не так.

    28 октября 2015 г. 11:08
    |

Ответы

  • Question
    Нужно войти
    1
    Нужно войти

    dc1-1, dc1-2, dc2-1 - в одной сети

    dc2-2 - в другой. nslookup резольвит всех отовсюду

     Проверять надо немного по-другому:

    1. Поиск контроллера домена в DNS:

    nltetst /dnsgetdc:имя.домена

    2. Проверка доступности контроллера домена

    nltest /dsgetdc:имя.домена

    Проблемы,  могут быть вызваны

    а) неверным разрешением имён в DNS (в частности, недоступностью зоны поддомена _msdcs домена, она обычно бывает отдельной)

    б) невозможностью подключения по протоколу RPC, проверяется это командой

    rpcping -s имя.контроллера.домена

    Слава России!

    • Помечено в качестве ответа tatarintsev 28 октября 2015 г. 18:57
    28 октября 2015 г. 17:28
    |
  • Question
    Нужно войти
    1
    Нужно войти

    Собственно, после обнаружения проблемы с DNS дальше можно было бы и не проверять.

    Проверяйте, что у вас там с обнаружением контроллеров домена mscg.ru.

    Проверьте, что зона _msdcs.mscg.ru доступна с контроллеров домена ariz.local, например так:

    nslookup -type=SOA _msdcs.mscg.ru

    Если сами не найдёте ошибку, то сообщите, как именно  у вас настроено разрешение имён для домена msgs.ru в серверах DNS домена ariz.local (обычные варианты - условная пересылка или вторичная зона) и какие серверы DNS указаны в списке в сетевых подключениях на контроллерах этого домена (можно сразу выдачу ipconfig /all выложить, чтобы не расписывать словами).

    PS Что мне кажется наиболее вероятным - что NS-записи делегирования для поддомена _msdcs в домене mscg.ru настроены неправильно - они не указывают на контроллеры этого домена. Проверить это, не заходя в консоль DNS на том домене, можно командой

    nslookup -type=ns _msdcs.mscg.ru

    Слава России!





    • Изменено M.V.V. _ 28 октября 2015 г. 18:21
    • Помечено в качестве ответа tatarintsev 28 октября 2015 г. 18:56
    28 октября 2015 г. 18:16
    |
  • Question
    Нужно войти
    0
    Нужно войти

    проблема обнаружилась. она у Вас под пунктом а)

    C:\Windows\system32>nltest /dnsgetdc:mscg.ru
    ОШИБКА. Сбой DNS-сервера: Status = 9002 0x232a DNS_ERROR_RCODE_SERVER_FAILURE

    C:\Windows\system32>nltest /dnsgetdc:ariz.local
    Список контроллеров домена в псевдослучайном порядке с учетом приоритетов и весо
    в SRV:
    Не специфический для сайта:
       dc1ariz.ariz.local  ::1  10.8.0.5
       dc2ariz.ariz.local  192.168.1.12
    Команда выполнена успешно.

    C:\Windows\system32>nltest /dsgetdc:ariz.local
               Контроллер домена: \\dc1ariz.ariz.local
          Адрес: \\10.8.0.5
         GUID DOM: e1ec4811-f469-4c3d-8785-6696f45b9ec2
         Имя DOM: ariz.local
      Имя леса: ariz.local
     Имя сайта контроллера домена: site
    Имя нашего сайта: site
            Флаги: GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLO
    SE_SITE FULL_SECRET WS DS_8 DS_9
    Команда выполнена успешно.

    C:\Windows\system32>nltest /dsgetdc:mscg.ru
    Не удалось получить имя контроллера домена: Status = 1355 0x54b ERROR_NO_SUCH_DO
    MAIN

    C:\Windows\system32>rpcping -s dc1ariz.ariz.local
    Завершено вызовов: 1 за 15 мс
    66 T/S или  15.000 мс/T


    C:\Windows\system32>rpcping -s dc1mscg.mscg.ru
    Завершено вызовов: 1 за 359 мс
    2 T/S или 359.000 мс/T


    C:\Windows\system32>rpcping -s dc3mscg.mscg.ru
    Завершено вызовов: 1 за 359 мс
    2 T/S или 359.000 мс/T


    C:\Windows\system32>rpcping -s dc2ariz.ariz.local
    Завершено вызовов: 1 за 359 мс
    2 T/S или 359.000 мс/T

    Это результат выполнения на первом домене. на втором картина такая же.

    • Помечено в качестве ответа tatarintsev 28 октября 2015 г. 18:56
    28 октября 2015 г. 17:46
    |

Все ответы

  • Question
    Нужно войти
    0
    Нужно войти

    попробуйте посмотреть dcdiag`ом как себя чувствует ваш домен

    вы можете так же попробовать настроить трасты со стороны второго домена

    у вас порты открыты все которые необходимо?

    The opinion expressed by me is not an official position of Microsoft

    28 октября 2015 г. 11:40
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    dcdiag говорит, что всё неплохо. сообщает только, что в логах сообщение о задержках в NTP. между всеми серверами разница во времени в пределах минуты. настройка траста со второго домена выдаёт такой же результат.  сейчас временно на всех серверах создал в фаерволах правило разрешающее всё. 

    28 октября 2015 г. 12:46
    |
  • Question
    Нужно войти
    0
    Нужно войти

    домены в одной сети или есть роутинг между сетями?

    посмотрите эту статью.

    28 октября 2015 г. 14:11
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    dc1-1, dc1-2, dc2-1 - в одной сети

    dc2-2 - в другой. nslookup резольвит всех отовсюду

    28 октября 2015 г. 14:41
    |
  • Question
    Нужно войти
    0
    Нужно войти

    по какой инструкции делаете?

    В верхней части что-то должно быть, но - нет

    с чего вы решили, что там должно что-то быть?

    покажите ping, nslookup, tracert полных имён каждого домена

    28 октября 2015 г. 15:48
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    Уже разобрался. Ничего там вверху быть не должно. 

    Команды эти достаточны с одного контроллера?

    C:\Users\tsad>ping ariz.local

    Обмен пакетами с ariz.local [192.168.1.12] с 32 байтами данных:
    Ответ от 192.168.1.12: число байт=32 время<1мс TTL=128
    Ответ от 192.168.1.12: число байт=32 время<1мс TTL=128
    Ответ от 192.168.1.12: число байт=32 время<1мс TTL=128
    Ответ от 192.168.1.12: число байт=32 время<1мс TTL=128

    Статистика Ping для 192.168.1.12:
        Пакетов: отправлено = 4, получено = 4, потеряно = 0
        (0% потерь)
    Приблизительное время приема-передачи в мс:
        Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

    C:\Users\tsad>ping mscg.ru

    Обмен пакетами с mscg.ru [192.168.1.17] с 32 байтами данных:
    Ответ от 192.168.1.17: число байт=32 время<1мс TTL=128
    Ответ от 192.168.1.17: число байт=32 время<1мс TTL=128
    Ответ от 192.168.1.17: число байт=32 время<1мс TTL=128
    Ответ от 192.168.1.17: число байт=32 время<1мс TTL=128

    Статистика Ping для 192.168.1.17:
        Пакетов: отправлено = 4, получено = 4, потеряно = 0
        (0% потерь)
    Приблизительное время приема-передачи в мс:
        Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

    C:\Users\tsad>tracert mscg.ru

    Трассировка маршрута к mscg.ru [192.168.1.17]
    с максимальным числом прыжков 30:

      1    <1 мс    <1 мс    <1 мс  dc3mscg.mscg.ru [192.168.1.17]

    Трассировка завершена.

    C:\Users\tsad>tracert ariz.local

    Трассировка маршрута к ariz.local [192.168.1.12]
    с максимальным числом прыжков 30:

      1    <1 мс    <1 мс    <1 мс  dc2ariz.ariz.local [192.168.1.12]

    Трассировка завершена.

    C:\Users\tsad>nslookup ariz.local
    ╤хЁтхЁ:  dc2ariz.ariz.local
    Address:  192.168.1.12

    ╚ь :     ariz.local
    Addresses:  192.168.1.12
              10.8.0.5


    C:\Users\tsad>nslookup mscg.ru
    ╤хЁтхЁ:  dc2ariz.ariz.local
    Address:  192.168.1.12

    ╚ь :     mscg.ru
    Addresses:  192.168.1.17
              192.168.1.16

    про mscg.ru мне не пеняйте. я уже автору сего чуда всё высказал. но резольвится в местной сети нормально.

    28 октября 2015 г. 15:56
    |
  • Question
    Нужно войти
    1
    Нужно войти

    dc1-1, dc1-2, dc2-1 - в одной сети

    dc2-2 - в другой. nslookup резольвит всех отовсюду

     Проверять надо немного по-другому:

    1. Поиск контроллера домена в DNS:

    nltetst /dnsgetdc:имя.домена

    2. Проверка доступности контроллера домена

    nltest /dsgetdc:имя.домена

    Проблемы,  могут быть вызваны

    а) неверным разрешением имён в DNS (в частности, недоступностью зоны поддомена _msdcs домена, она обычно бывает отдельной)

    б) невозможностью подключения по протоколу RPC, проверяется это командой

    rpcping -s имя.контроллера.домена

    Слава России!

    • Помечено в качестве ответа tatarintsev 28 октября 2015 г. 18:57
    28 октября 2015 г. 17:28
    |
  • Question
    Нужно войти
    0
    Нужно войти

    проблема обнаружилась. она у Вас под пунктом а)

    C:\Windows\system32>nltest /dnsgetdc:mscg.ru
    ОШИБКА. Сбой DNS-сервера: Status = 9002 0x232a DNS_ERROR_RCODE_SERVER_FAILURE

    C:\Windows\system32>nltest /dnsgetdc:ariz.local
    Список контроллеров домена в псевдослучайном порядке с учетом приоритетов и весо
    в SRV:
    Не специфический для сайта:
       dc1ariz.ariz.local  ::1  10.8.0.5
       dc2ariz.ariz.local  192.168.1.12
    Команда выполнена успешно.

    C:\Windows\system32>nltest /dsgetdc:ariz.local
               Контроллер домена: \\dc1ariz.ariz.local
          Адрес: \\10.8.0.5
         GUID DOM: e1ec4811-f469-4c3d-8785-6696f45b9ec2
         Имя DOM: ariz.local
      Имя леса: ariz.local
     Имя сайта контроллера домена: site
    Имя нашего сайта: site
            Флаги: GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLO
    SE_SITE FULL_SECRET WS DS_8 DS_9
    Команда выполнена успешно.

    C:\Windows\system32>nltest /dsgetdc:mscg.ru
    Не удалось получить имя контроллера домена: Status = 1355 0x54b ERROR_NO_SUCH_DO
    MAIN

    C:\Windows\system32>rpcping -s dc1ariz.ariz.local
    Завершено вызовов: 1 за 15 мс
    66 T/S или  15.000 мс/T


    C:\Windows\system32>rpcping -s dc1mscg.mscg.ru
    Завершено вызовов: 1 за 359 мс
    2 T/S или 359.000 мс/T


    C:\Windows\system32>rpcping -s dc3mscg.mscg.ru
    Завершено вызовов: 1 за 359 мс
    2 T/S или 359.000 мс/T


    C:\Windows\system32>rpcping -s dc2ariz.ariz.local
    Завершено вызовов: 1 за 359 мс
    2 T/S или 359.000 мс/T

    Это результат выполнения на первом домене. на втором картина такая же.

    • Помечено в качестве ответа tatarintsev 28 октября 2015 г. 18:56
    28 октября 2015 г. 17:46
    |
  • Question
    Нужно войти
    1
    Нужно войти

    Собственно, после обнаружения проблемы с DNS дальше можно было бы и не проверять.

    Проверяйте, что у вас там с обнаружением контроллеров домена mscg.ru.

    Проверьте, что зона _msdcs.mscg.ru доступна с контроллеров домена ariz.local, например так:

    nslookup -type=SOA _msdcs.mscg.ru

    Если сами не найдёте ошибку, то сообщите, как именно  у вас настроено разрешение имён для домена msgs.ru в серверах DNS домена ariz.local (обычные варианты - условная пересылка или вторичная зона) и какие серверы DNS указаны в списке в сетевых подключениях на контроллерах этого домена (можно сразу выдачу ipconfig /all выложить, чтобы не расписывать словами).

    PS Что мне кажется наиболее вероятным - что NS-записи делегирования для поддомена _msdcs в домене mscg.ru настроены неправильно - они не указывают на контроллеры этого домена. Проверить это, не заходя в консоль DNS на том домене, можно командой

    nslookup -type=ns _msdcs.mscg.ru

    Слава России!





    • Изменено M.V.V. _ 28 октября 2015 г. 18:21
    • Помечено в качестве ответа tatarintsev 28 октября 2015 г. 18:56
    28 октября 2015 г. 18:16
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Спасибо огромное. Вроде траст создался и проверки в обе стороны прошли. Трансдоменные права устанавливаются. В msdcs mscg оставался мусор от прежних контроллеров. 
    28 октября 2015 г. 18:56
    |