none
Проблемы с доверительными отношениями леса RRS feed

  • Вопрос

  • для тестирования доверительных отношений поднимаю два тестовых домена

    1й - testdomain1.com (контроллер соответственно dc1.testdomain1.com , 192.168.3.1/24), w2k3 Sp2

    2й - testdomain2.com (контроллер соответственно dc2.testdomain2.com , 192.168.3.2/24), w2k3 Sp2

    на обоих запущен DNS с пересылкой друг на друга.

    оба сервера друг друга пингуют и корректно разрешают DNS-имена друг друга.

    на обеих серверах и домен и лес функционируют в режиме 2003.

    нужно создать двухстронее доверие лесов . но при попытке

    создания обсолютно любого доверия в конце мастера создания доверия получаю "Продолжение невозможно. не удалось создать отношения доверия из-за следующей ошибки - эта операция не может быть выполнена над текущим доменом".

    домены свежеустановленные, ничего ещё не испорчено :) куда копать ?

    14 февраля 2011 г. 11:48

Ответы

  • точно, исправляюсь :) (встроенный "Администратор" переименован в admin)

    на DC1

    C:\Program Files\Support Tools>getsid \\dc1 admin \\dc1 admin
    The SID for account TESTDOMAIN1\admin matches account TESTDOMAIN1\admin
    The SID for account TESTDOMAIN1\admin is S-1-5-21-541621857-2803693013-585055147-500
    The SID for account TESTDOMAIN1\admin is S-1-5-21-541621857-2803693013-585055147-500

    на DC2

    C:\Program Files\Support Tools>getsid \\dc2 admin \\dc2 admin
    The SID for account TESTDOMAIN2\admin matches account TESTDOMAIN2\admin
    The SID for account TESTDOMAIN2\admin is S-1-5-21-541621857-2803693013-585055147-500
    The SID for account TESTDOMAIN2\admin is S-1-5-21-541621857-2803693013-585055147-500

    что-то мне подсказывает, что сиды у юзеров одинаковые и очевидно что 2й домен делался клонированием первого :). у вас тоже такие же мысли?


    У вас у доменов одинаковые SID S-1-5-21-541621857-2803693013-585055147. Подозреваю, что машины у вас виртуальные и клонировали вы их простым копированием.

    В результате машины получились абсолютно идентичные и SID домена тоже.

    Удаляйте один DC, потом как склонируете новый примените к нему программу newsid, чтобы изменить SID машины, затем поднимайте второй DC и настраивайте доверие

    newsid

    http://technet.microsoft.com/ru-ru/sysinternals/bb897418

    • Предложено в качестве ответа AndricoRusEditor 14 февраля 2011 г. 14:09
    • Помечено в качестве ответа AndricoRusEditor 14 февраля 2011 г. 16:10
    14 февраля 2011 г. 14:07
    Отвечающий

Все ответы

  • покажите вывод  утилиты getsid (support tools)

    на dc1

    getsid \\dc1 administrator \\dc1 administrator

    на dc2

    getsid \\dc2 administrator \\dc2 administrator

    14 февраля 2011 г. 12:25
    Отвечающий
  • на dc1

    C:\Program Files\Support Tools>getsid \\dc1 admin \\dc2 admin
    The SID for account TESTDOMAIN1\admin matches account TESTDOMAIN2\admin
    The SID for account TESTDOMAIN1\admin is S-1-5-21-541621857-2803693013-585055147-500
    The SID for account TESTDOMAIN2\admin is S-1-5-21-541621857-2803693013-585055147-500

    на dc2

    C:\Program Files\Support Tools>getsid \\dc2 admin \\dc1 admin
    The SID for account TESTDOMAIN2\admin matches account TESTDOMAIN1\admin
    The SID for account TESTDOMAIN2\admin is S-1-5-21-541621857-2803693013-585055147-500
    The SID for account TESTDOMAIN1\admin is S-1-5-21-541621857-2803693013-585055147-500


     

    14 февраля 2011 г. 13:23
  • заметил, что есть чудо ошибка "MS DTC could not correctly process a DC Promotion/Demotion event. MS DTC will continue to function and will use the existing security settings. Error Specifics: d:\nt\com\complus\dtc\dtc\adme\uiname.cpp:8751 CmdLine: C:\WINNT\system32\msdtc.exe Pid: <PID> No Callstack (0)."

    проделал

    net stop msdtc

     msdtc -uninstall

     msdtc -install

     net start msdtc

    установил read-права на HKLM\Software\Microsoft\MSDTC для Network Service

    а также первые два пункта из статьи http://www.sql.ru/articles/mssql/2005/083101DebuggingMSDTCissues.shtml

     ошибка из логов исчезла, но на общий результат никак не повлияло - доверие не создается. ситуация полностью повторилась на w2k3 Enterprise. (первоначально был Standart)

    14 февраля 2011 г. 13:32
  • Немного не так выполнили

    на DC1

    getsid \\dc1 administrator \\dc1 administrator

    я не опечатался - имя КД одинаковое в обоих случаях

    на DC2

    getsid \\dc2 administrator \\dc2 administrator

    14 февраля 2011 г. 13:41
    Отвечающий
  • точно, исправляюсь :) (встроенный "Администратор" переименован в admin)

    на DC1

    C:\Program Files\Support Tools>getsid \\dc1 admin \\dc1 admin
    The SID for account TESTDOMAIN1\admin matches account TESTDOMAIN1\admin
    The SID for account TESTDOMAIN1\admin is S-1-5-21-541621857-2803693013-585055147-500
    The SID for account TESTDOMAIN1\admin is S-1-5-21-541621857-2803693013-585055147-500

    на DC2

    C:\Program Files\Support Tools>getsid \\dc2 admin \\dc2 admin
    The SID for account TESTDOMAIN2\admin matches account TESTDOMAIN2\admin
    The SID for account TESTDOMAIN2\admin is S-1-5-21-541621857-2803693013-585055147-500
    The SID for account TESTDOMAIN2\admin is S-1-5-21-541621857-2803693013-585055147-500

    что-то мне подсказывает, что сиды у юзеров одинаковые и очевидно что 2й домен делался клонированием первого :). у вас тоже такие же мысли?

    14 февраля 2011 г. 14:01
  • точно, исправляюсь :) (встроенный "Администратор" переименован в admin)

    на DC1

    C:\Program Files\Support Tools>getsid \\dc1 admin \\dc1 admin
    The SID for account TESTDOMAIN1\admin matches account TESTDOMAIN1\admin
    The SID for account TESTDOMAIN1\admin is S-1-5-21-541621857-2803693013-585055147-500
    The SID for account TESTDOMAIN1\admin is S-1-5-21-541621857-2803693013-585055147-500

    на DC2

    C:\Program Files\Support Tools>getsid \\dc2 admin \\dc2 admin
    The SID for account TESTDOMAIN2\admin matches account TESTDOMAIN2\admin
    The SID for account TESTDOMAIN2\admin is S-1-5-21-541621857-2803693013-585055147-500
    The SID for account TESTDOMAIN2\admin is S-1-5-21-541621857-2803693013-585055147-500

    что-то мне подсказывает, что сиды у юзеров одинаковые и очевидно что 2й домен делался клонированием первого :). у вас тоже такие же мысли?


    У вас у доменов одинаковые SID S-1-5-21-541621857-2803693013-585055147. Подозреваю, что машины у вас виртуальные и клонировали вы их простым копированием.

    В результате машины получились абсолютно идентичные и SID домена тоже.

    Удаляйте один DC, потом как склонируете новый примените к нему программу newsid, чтобы изменить SID машины, затем поднимайте второй DC и настраивайте доверие

    newsid

    http://technet.microsoft.com/ru-ru/sysinternals/bb897418

    • Предложено в качестве ответа AndricoRusEditor 14 февраля 2011 г. 14:09
    • Помечено в качестве ответа AndricoRusEditor 14 февраля 2011 г. 16:10
    14 февраля 2011 г. 14:07
    Отвечающий
  • да, newsid помог и всё заработало с 1го раза. кстати, на  

    http://technet.microsoft.com/ru-ru/sysinternals/bb897418 его скачать уже нельзя :).

    спасибо!

    14 февраля 2011 г. 14:55