none
Как настроить DNS для настройки forest trust relationship ? RRS feed

  • Вопрос

  • Здравствуйте, прошу помочь настроить DNS и forest trust relationship

    Дано:

    1. kompaniya.loc, уровень леса и домена 2003, который планируется потом переименовываться в kompaniya.ru
    2.  есть внешний домен(сайт, не AD) kompaniya.ru, есть соответствующая зона в DNS
    3.  создан домен filial.kompaniya.ru, уровень леса и домена 2016
    4.  есть тестовый корневой домен testserver.loc ( уровень 2008) - пока для теста пытаюсь настроить доверие с ним, но тоже не выходит. Нужно корректно настроить DNS.

    Сервера друг друга пингуют, подсети друг друга видят, firewall везде отключен.

    Задача: настроить one-way доверия между kompaniya.loc и filial.kompaniya.ru, чтобы пользователи kompaniya.loc имели доступ в filial.kompaniya.ru, но не наоборот.

    есть несколько вопросов:

    1. Возможна ли в принципе настройка доверия если netbios имена совпадают ( kompaniya )? Насколько я знаю - нет, но хотел бы ошибаться, потому что настроить нАдо

    2. с тестовым доменом netbiosне совпадают, как правильно настроить DNS если есть домен filial.kompaniya.ru но нет kompaniya.ru ? Создать на testserver.loc DNS запись kompaniya.ru а внутри filial? Не получается. nslookup домена filial.kompaniya.ru ничего не показывает.., хотя с домена filial.kompaniya.ru домен testserver.loc определяется!






    • Изменено [username] 20 июля 2018 г. 11:17
    20 июля 2018 г. 11:11

Ответы

  • 1. Вы, к сожалению, не ошибаетесь.

    2. Для делегирования нужно не отдельные записи создавать, а настраивать разрешение для зон домена целиком. Делается это одним из 3 способов:

    1. условная пересылка для домена - партнера по доверию на контроллеры этого домена,
    2. зона-заглушка для него же
    3. вторичная зона для него же

    Подробности читайте в документации.

    Несмотря на то, что доверие у вас одностороннее, разрешение имен лучше настроить в обоих направлениях: NTLM требует обращения корневых КД доверяющего леса к корневым КД доверяемым, а Kerberos - возможность доступа к КД доверяющего домена со стороны компьютеров всех пользователей, которые туда могут обращаться.


    Слава России!

    20 июля 2018 г. 13:36