none
Доверительные отношения компьютера и домена RRS feed

  • Вопрос

  • Добрый день.

    есть два домена. dc1 и dc2

    пользователи домана 1 пользуются компьютерами в домене2 и заходят под своими учетными записями домена 1!

    возникла ошибка.. "база данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией.. "

    пробую заходить под именем доменного админа dc1.при вводе заранее неверного пароля ошибка в не верном пароле.

    имена доменов резолвятся верно..

    вывел машину из домена и заново ввел в домен (dc2).

    ошибка сохранилась..  буду признателен любой помощи..

    эта ошибка только на паре компьютеров выявлена. пробовал на соседнем компьютере там все норм заходит.  в логах чисто :(


    DFF


Ответы

  • Здесь всё чисто.

    Проверяйте поиск контроллеров первого домена и состояние защищенного канала к первому домену на обоих контроллерах второго домена. В этом вам помогут: nltest с ключами /dnsgetdc /dsgetdc /sc_verify, журнал событий системы, тестирование доверительного отношения з консоли AD Domains and trusts

    Проверьте репликацию между контроллерами доменов (repadmin /repl * с любого КД) в обоих доменах, сначала - в первом.


    Слава России!

    8 июля 2019 г. 10:33

Все ответы

  • "Домены" - это у вас именно домены, или контроллеры доменов?

    Если сомневаетесь - напишите их полные доменные имена, посмотрим.

    В любом случае, для начала имеет смысл выполнить команду dcdiag /q на каждом из контроллеров домена (обязательно из командной строки в режиме администратора) и посмотреть, какие ошибки она найдёт (в норме она не выдает ничего). Если не поймёте, что за ошибки - выкладывайте ошибки сюда (чтобы не мучиться со скриншотами - в текстовом виде: выделите через локальное меню командной строки текст и нажатием клавиши Enter заберите его в буфер обмена).


    Слава России!

  • между доменами dc1 и dc2 (это не кд.)  доверительное отношение.. 

    доверие между доменами работает хорошо..

    внутри домена реплики проходят без ошибок. (в каждом домене по 2 КД).

    dc1=domain1.local

    dc2=domain2.loc

    смена имени хоста не помогло. :(

    _ldap._tcp.dc._msdcs.domain1.local резолвится

    _ldap._tcp.dc._msdcs.domain2.loc резолвится

    (давно была проблема с dns не определял лдап для домена).


    DFF


    4 июля 2019 г. 10:29
  • 1.Уточните, пожалуйста, тип (внешнее/межлесное) и направление доверительного отношения между доменами: путь, по которому идет аутентификация пользователя из другого домена, зависит от типа доверительного отношения.

    2.  Если тип отношения - доверие между лесами, то сразу проверьте с проблемного компьютера поиск КД первого домена (domain1.local) через DNS: на проблемном компьютере поставьте RSAT (нужны средства управления AD) ипроверьте с него поиск контроллеров первого домена в DNS: nltest /dnsgetdc:domain1.local

     

    Слава России!

    4 июля 2019 г. 11:26
  • Тип отношения внешнее 

    nltest /dnsgetdc:domain1.local

    Список контроллеров домена в псевдослучайном порядке с учетом приоритетов и весов SRV:
    Не специфический для сайта:
       DS07.domain1.local  192.168.54.109
       PDC.domain1.local  192.168.54.25
    Команда выполнена успешно.


    DFF

    4 июля 2019 г. 14:33
  • Ну, раз отношение доверия - внешнее, то информация о поиске контроллеров доверенного домена с клиента бесполезна: аутентификация этим путем не ходит, т.к. через внешнее доверие поддерживается только NTLM.

    Надо проверять работу механизма аутентификации NTLM для проблемного компьютера, для начала - внутри его собственного домена.

    1. Посмотрите на проблемном компьютере в журнале событий Система наличие ошибок от источника Netlogon (сетевой вход в систему)

    2. Проверьте командой nltest /sc_verify:domain2.loc на проблемном компьютере статус защищенного канала к контроллу его домена (нормальное значение - NERR_Success)

    3. Если статус нормальный, то проверьте аутентификацию по NTLM на проблемном компьютере внутри домена: посмотрите результат выполнения команды net view \\IP-адрес.проблемного.компьютера с другого компьютера того же домена, войдя на нем в систему под учетной записью из того же домена (domain2.loc)


    Слава России!

    4 июля 2019 г. 15:25
  • 1. ошибок в логах не замечено. 

    2. nltest /sc_verify:domain2.loc
    Флаги: b0 HAS_IP  HAS_TIMESERV
    Имя доверенного контроллера домена \\DC4.domain2.loc
    Состояние подключения доверенного контроллера домена Status = 0 0x0 NERR_Success
    Проверка доверия Status = 0 0x0 NERR_Success
    Команда выполнена успешно.

    3. шары видны, доступ есть. 


    DFF



  • Здесь всё чисто.

    Проверяйте поиск контроллеров первого домена и состояние защищенного канала к первому домену на обоих контроллерах второго домена. В этом вам помогут: nltest с ключами /dnsgetdc /dsgetdc /sc_verify, журнал событий системы, тестирование доверительного отношения з консоли AD Domains and trusts

    Проверьте репликацию между контроллерами доменов (repadmin /repl * с любого КД) в обоих доменах, сначала - в первом.


    Слава России!

    8 июля 2019 г. 10:33
  • выполнил все тесты. 

    ошибок нет.  репликации работают тоже, тест доверительного отношения тоже норм. 


    DFF

    15 июля 2019 г. 12:19