none
Ошибка при настройке доверительных отношений RRS feed

  • Вопрос

  • Пытаюсь подружить два домена. Перед настройкой доверительных отношений я отключил файрволы на обоих DC, а также расположил дополнительные (secondary) DNS-зоны перекрёстно друг к другу. Оба сервера успешно пингуют друг друга как по ip-адресу, так и по доменному имени. Однако, на конечном этапе настройки доверительных отношений, появляется ошибка "Проверка пароля доверия не завершена. Будет предпринята попытка переустановить безопасный канал. Ошибка 1311 переустановки безопасного канала: Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. Исходящее доверие проверено. Оно работоспособно и активно."


    Домены появляются в списке доверенных доменов друг у друга, но, по факту, доверительные отношения не устанавливаются. Предполагаю, что это каким-либо образом может быть связано с сервером, на котором располагаются FSMO-роли. Он находится в главном офисе. Главный офис и наш находятся в одном домене, но поделены на разные сайты. Все порты на маршрутизаторе для тестирования установки доверительных отношений были открыты. При проверке установленных доверительных отношений, появляется окно с ошибкой, представленное на скриншоте, где фигурирует имя сервера с FSMO-ролями.

    С чем ещё может быть связана данная ошибка и как от неё избавиться?

    2 октября 2017 г. 13:40

Ответы

  • Возможно, проверке доверия мешает задержка репликации между сайтами. Поэтому попробуйте следующее: после настройки доверия но до его проверки выполните в домене rvk.local репликацию вручную в обе стороны (проще всего это сделать через консоль AD Sites And Services) и убедитесь (командой repadmin /showrepl * на любом КД), что она действительно выполнилась.

    Если это не помогает - проверьте достижимость контроллера домена tvk.local с PDC Emulator домена rvk.local (srvdc1-vm.rvk.local) (командой nltest /dsgetdc:tvk.local /force) и в обратную сторону (командой nltest /dsgetdc:tvk.local /pdc /force). Если там какие-то проблемы - диагностируйте с помощью команд nltest /dnsgetdc:имя.домена (поиск нужного КД) и rpcping -s имя.контроллера.домена (проверка достижимости по RPC).


    Слава России!

    4 октября 2017 г. 12:19
  • Доверие удалось установить после того как мною был получен доступ к 192.168.1.2. Проблема возникала из-за того, что не произошла репликация зон DNS на 192.168.1.2. Спасибо Вам за ценные советы!
    17 октября 2017 г. 7:30

Все ответы

  • С проблемой поиска имён в поддомене(ах) _msdcs домена(ов): записи SRV, по которым реально ищутся контроллеры домена, находятся там, а по умолчанию эти поддомены - отдельные зоны.

    Либо проверьте и настройте правильно делегирование этих зон в зонах доменов - чтобы записи NS делегирования указывали на соотвествующие контроллеры домена, либо настройте перекрёстно и эти зоны в качестве вторичных, как вы сделали это с зонами самих доменов.


    Слава России!

    2 октября 2017 г. 14:02
  • Здравствуйте! Действительно, зоны _msdcs не были настроены, расположил их перекрёстно друг другу в качестве вторичных в зонах прямого просмотра, но, к сожалению, возникает такая же ошибка…
    3 октября 2017 г. 8:08
  • Ну, тогда давайте проверять поиск контроллеров домена с контроллеров другого домена.

    В  каждом домене на контроллере выполните команду: nltest /dnsgetdc:имя.другого.домена /force Должен получиться список имён DNS контроллеров другого домена.

    Если список имён получился - проверяйте в каждом домене непосредственно поиск, командой nltest /dsgetdc:имя.другого.домена /force Если найдёте ошибку тут, проверяйте достижимость по RPC контроллера(ов) другого домена rpcping -s имя_контроллера

    Если обнаружите ошибку, причину или смысл которой не понимаете, то, чтобы получить помощь, придётся вам выкладывать дополнительную информацию: имена доменов (можете скрыть, но обязательно заменяйте одинаковые слова одинаковыми, а разные - разными), IP-подсети, в которых размещены контроллеры (опять-таки, можете скрыть таким же образом), если подсети разные - чем они соединены, настройки серверов DNS в подключениях на контроллерах доменов. Может потребоваться и дополнительная информация - напишу по мере надобности.


    Слава России!

    3 октября 2017 г. 11:47
  • Есть два домена: TVK.local с КД srv-dc2.tvk.local (192.168.33.12), который является также владельцем всех FSMO ролей, и RVK.local с КД srvdc-tvk.rvk.local (192.168.33.11), но FSMO роли в RVK.local располагаются на сервере srvdc1-vm.rvk.local (192.168.1.2), который находится в главном офисе (доступа к нему у меня нет).
    Выполнение nltest /dnsgetdc:имя.другого.домена /force на 192.168.33.12:

    Выполнение nltest /dnsgetdc:имя.другого.домена /force на 192.168.33.11:

    «Если список имён получился - проверяйте в каждом домене непосредственно поиск, командой nltest /dsgetdc:имя.другого.домена /force» - это предложение не очень понял.

    Выполнение rpcping -s имя_контроллера на 192.168.33.12:

    Выполнение rpcping -s имя_контроллера на 192.168.33.11:

    Вроде бы всё успешно выполняется...

    3 октября 2017 г. 13:45
  • Там, где вы не очень поняли, там приведена команда, которую надо выполнить (у неё другие ключи, нежели чем в первой - отличие в одну букву, но оно есть) и посмотреть результат.

    Далее, контроллеров в домене rvk.local у вас два. Какой из них PDC Emulator? В одном сайте они разсположены, или в разных. Выполните аналогичные проверки достижимости другого домена с SVRDC1-VM (особенно стоит, если он - PDC Emulator).

    Тип доверия, как я понимаю - внешнее, так? Уточните, кроме этого, в какую сторону (или в обе) устнавливаете доверие, и в какую сторону не проходит проверка?


    Слава России!

    3 октября 2017 г. 14:15
  • Выполнение nltest /dsgetdc:имя.другого.домена /force на 192.168.33.12:

    Выполнение nltest /dsgetdc:имя.другого.домена /force на 192.168.33.11:

    srvdc1-vm.rvk.local и srvdc-tvk.rvk.local находятся в разных сайтах – 1-ый в Default-First-Site-Name, а 2-ой в отдельном региональном сайте – назовём его Tvk-Site. srvdc1-vm.rvk.local – это «главный» КД в rvk.local, на котором располагаются все FSMO-роли, в том числе и PDC Emulator. srvdc-tvk.rvk.local – это КД, который обслуживает  отдельный сайт AD (находится в региональном офисе, где я работаю). srvdc1-vm.rvk.local находится в главном офисе и доступа к нему у меня нет, но могу попросить администраторов главного офиса  осуществить необходимые проверки.

    Тип доверия устанавливаю «Доверие леса», но пробовал и «Внешнее доверие» - возникает аналогичная ошибка. Направление доверия устанавливаю двухстороннее, но пробовал и одностороннее – успешно настраивается только доверие, при котором пользователи домена RVK.local могут проходить проверку подлинности в домене TVK.local…

    P.S. ещё заметил вот что - когда домены не связаны доверительными отношениями, то с srv-dc2.tvk.local (192.168.33.12) свободно осуществляется сетевой доступ на srvdc1-vm.rvk.local, но после неудачного установления доверительных отношений (RVK.local доверяет TVK.local), когда домены появляются в списке доверенных доменов друг у друга, но, по факту, доверительные отношения не устанавливаются, доступ пропадает...

    4 октября 2017 г. 11:16
  • Возможно, проверке доверия мешает задержка репликации между сайтами. Поэтому попробуйте следующее: после настройки доверия но до его проверки выполните в домене rvk.local репликацию вручную в обе стороны (проще всего это сделать через консоль AD Sites And Services) и убедитесь (командой repadmin /showrepl * на любом КД), что она действительно выполнилась.

    Если это не помогает - проверьте достижимость контроллера домена tvk.local с PDC Emulator домена rvk.local (srvdc1-vm.rvk.local) (командой nltest /dsgetdc:tvk.local /force) и в обратную сторону (командой nltest /dsgetdc:tvk.local /pdc /force). Если там какие-то проблемы - диагностируйте с помощью команд nltest /dnsgetdc:имя.домена (поиск нужного КД) и rpcping -s имя.контроллера.домена (проверка достижимости по RPC).


    Слава России!

    4 октября 2017 г. 12:19
  • Доверие удалось установить после того как мною был получен доступ к 192.168.1.2. Проблема возникала из-за того, что не произошла репликация зон DNS на 192.168.1.2. Спасибо Вам за ценные советы!
    17 октября 2017 г. 7:30