none
Проблема при создании доверительных отношений между доменами 2003 и 2008 RRS feed

  • Общие обсуждения

  • Пытаюсь настроить доверительные отношения между двумя доменами. Оба на 2003 схеме, но один на Win2003 STD (domain1) второй на Win2008 STD (domain2).

    ДНСы работают нормально. Имена разрешаются, пинги ходят, шары при соответсвующем логине/пароле открываются.

    При запуске мастера на 2003 серваке дает сделать только тип доверенности "сфера". При попытке соедениться по типу "отношения с доменом" пишет ошибку, о том что такой домен не найден.

    После ввода данных в domain2 запускаю мастер на 2008 серваке (domain1)  После ввода реквизитов и пароля для связи пытаюсь проверить соединение и получаю ошибку:

    При проверке безопасного канала (SC) на контроллере домена Active Directory \\pdc.domain1 для домена domain1 к домену domain2 произошла ошибка: База данных диспетчера учетных записей на сервере не содержит записи для регистрации  компьютера через доверительные отношения с этой рабочей станции.

    При сбросе безопасного канала (SC) на контроллере домена Active Directory \\pdc.domain1 для домена domain1 к домену domain2 произошла ошибка: База данных диспетчера учетных записей на сервере не содержит записи для регистрации  компьютера через доверительные отношения с этой рабочей станции.

    При проверке безопасного канала (SC) на контроллере домена Active Directory \\pdc1.domain2 для домена domain2 к домену domain1 произошла ошибка: Указанный домен не существует или к нему невозможно подключиться.

    При сбросе безопасного канала (SC) на контроллере домена Active Directory \\pdc1.domain2 для домена domain2 к домену domain1 произошла ошибка: Указанный домен не существует или к нему невозможно подключиться.

    Пробовал различные варианты и одностороннее доверие и двухсторонее, ошибка одна и та же. На контроллере AD domain1 в логах пишет следующую ошибку:

    Не удалось установить сеанс с компьютера "PDC", так как указанная им доверительная учетная запись "domain2" отсутствует в базе данных.

    Подскажите, куда копать.

    • Изменен тип Vinokurov YuriyModerator 27 августа 2010 г. 12:45 давность и отсутствие активности в теме
    18 августа 2010 г. 11:42

Все ответы

  • покажите вывод команды netdom query fsmo из обоих доменов
    18 августа 2010 г. 11:50
    Отвечающий
  • В domain2

    Schema owner                sdc1.domain2

    Domain role owner           sdc1.domain2

    PDC role                    sdc1.domain2

    RID pool manager            sdc1.domain2

    Infrastructure owner        sdc1.domain2

    The command completed successfully.

    В domain1 соответсвенно:
    Хозяин схемы                pdc.domain1
    Хозяин именования доменов   pdc.domain1
    PDC                         pdc.domain1
    Диспетчер пула RID          pdc.domain1
    Хозяин инфраструктуры       pdc.domain1
    Команда успешно выполнена.

    Что бы не вызвать лишнии вопросы: PDC1 в domain2 играет роль резервного DC поэтому в первом посте обращения нему легитимны.

    искал ошибки в структуре доменов при помощи dcdiag и netdiag - ничего криминального не заметил...

    19 августа 2010 г. 8:29
  • А у вас оба домена single label что ли?

    с pdc проходит пинг  sdc1.domain2 ?

    и наоборот с sdc1 до  pdc.domain1 ?

    19 августа 2010 г. 9:05
    Отвечающий
  • Да.

    Пинги ходят везде без проблем.

    Как я уже писал соединение есть. Мало того, при попытке проверки соединения с Domain1 в логах sdc1.domain2 есть ругательные сообщения "Не удалось установить сеанс с компьютера "PDC", так как указанная им доверительная учетная запись "domain1" отсутствует в базе данных." Именно так и пишет. Не учетная запись пользователя или компа, а учетная запись имени домена. Источник NETLOGON. Код ошибки 5723

    19 августа 2010 г. 9:56
  • Попробуйте на всех КД в реестре установить в 1 значение параметра реестра DWORD (если нет - создать)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\AllowSingleLabelDnsDomain

    Затем попробовать установить доверия снова

    19 августа 2010 г. 10:08
    Отвечающий
  • Уважаемый пользователь!

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    25 августа 2010 г. 6:38
    Модератор