none
Windows 2008 網站信任問題 RRS feed

  • 問題

  • 想請問一下,目前遇到Windows 2008與Windows2003網域信任問題。
    目前我公司使用Windows2003網域,但需要跟其他公司Windows2008網域做外部信任關係,發現了一個奇怪的狀況,從我公司可以看到Windows2008的資訊,但另一間公司卻看不到我們公司(Windows 2003網域)的資訊。
    想請問有沒有可能Windows2003需要擴充Windows2008的Schema?
    2009年10月13日 上午 09:31

解答

  • 2008的DNS上面設定條件轉寄不是在該位置..

    設定位置大概是下面

    Server 2008 -> 打開DNS管理介面 -> 展開HostName後對"條件轉寄站"點右鍵 -> 新條件轉寄站
    在這邊設定 Server 2003的網域名稱 & 該網域的DNS Server IP

    Server 2003的部分就是按造你之前原先的設定
    Windows 2003  DNS>>HostName>>右鍵內容>>轉寄站>>加入2008domain 名稱(xxx.com.cn) 及DNS Server IP位置


    另外..還要檢查下面兩點

    1.Client端DNS Server IP是指向哪裡? 建議只要指到Domain的DNS Server就好..不要額外設定外部的DNS (如168.95.1.1)
    2.DC的DNS Server IP 設定只要指到DNS Server或是自己(如果DNS Server是自己)就好....不要額外設定外部的DNS (如168.95.1.1)
    • 已提議為解答 Vincent Lin 2009年10月18日 上午 02:32
    • 已標示為解答 Vincent Lin 2009年10月19日 上午 10:08
    2009年10月14日 上午 06:22

所有回覆

  • 1.你做的信任是雙向的還是單向的?
    2.從哪個地方是看不到2003網域的資訊?
    3.雙方網域的DNS有沒有設定"選擇性轉寄(Conditional Fowarder)"來指定對方網域的DNS查詢要丟給對方網域的DNS Server IP?

    可以的話再提供多一點資訊..比較好協助你處理

    2009年10月14日 上午 02:15
  • 你做的信任是雙向的還是單向的?  信任關係是建雙向信任

    從哪個地方是看不到2003網域的資訊? 在加入信任網域時出現訊息  Windows 找不到 XXX.com.tw(台灣Windows 2003)網域的AD網域控制站。請確認AD DC可以使用,然後重試。

    若是從XXX.com.tw加入XXX.com.cn的網域則會出現  網域XXX.com.cn到網域XXX.com.tw的網域控制站\\AD1.XXX.com.cn上的安全通道(SC)重設失敗,錯誤為:目前無可用的登入伺服器來服務登入請求。

    雙方網域的DNS有沒有設定"選擇性轉寄?有設定轉寄站指向對方的DNS名

    在麻煩講師協助判斷?感謝

    2009年10月14日 上午 05:25
  • 你先登入原先的Domain後..然後再cmd.exe裡面去ping對方的DC FQDN (如ad1.xxx.com.cn)去看看是否可以正常解析

    另外..你的轉寄站是在哪設定的..我想確認看看設定是否正確
    如果可以的話簡單描述一下流程
    2009年10月14日 上午 05:41

  • Ping的到ad1.xxx.com.cn也正常解析出IP位置。

    轉寄站設定是在 Windows 2003  DNS>>HostName>>右鍵內容>>轉寄站>>加入xxx.com.cn 及IP位置
                            Windows 2008  DNS>>HostName>>右鍵內容>>轉寄站>>輸入IP位置

    2009年10月14日 上午 05:52
  • 2008的DNS上面設定條件轉寄不是在該位置..

    設定位置大概是下面

    Server 2008 -> 打開DNS管理介面 -> 展開HostName後對"條件轉寄站"點右鍵 -> 新條件轉寄站
    在這邊設定 Server 2003的網域名稱 & 該網域的DNS Server IP

    Server 2003的部分就是按造你之前原先的設定
    Windows 2003  DNS>>HostName>>右鍵內容>>轉寄站>>加入2008domain 名稱(xxx.com.cn) 及DNS Server IP位置


    另外..還要檢查下面兩點

    1.Client端DNS Server IP是指向哪裡? 建議只要指到Domain的DNS Server就好..不要額外設定外部的DNS (如168.95.1.1)
    2.DC的DNS Server IP 設定只要指到DNS Server或是自己(如果DNS Server是自己)就好....不要額外設定外部的DNS (如168.95.1.1)
    • 已提議為解答 Vincent Lin 2009年10月18日 上午 02:32
    • 已標示為解答 Vincent Lin 2009年10月19日 上午 10:08
    2009年10月14日 上午 06:22
  • Hi Vincent
        今天又測試了一下,目前兩邊的信任關係有建立成功。我從Windows 2008上新增一個分享資料夾並付予Windows 2003網域使用者存取權限。從Windows 2003網域要存取分享的資料夾時會出現錯誤視窗 描述為 "主要網域和受信網域間的信任關係失敗"。請問這有可能是哪個部分還需再設定嗎??
    2009年10月21日 上午 06:59
  • 目前你的環境配置是跟我上面提的一樣嗎?還是原來那樣?
    微軟技術支援服務
    2009年10月21日 上午 07:06
  • Hi Vincent
       Windows 2003 XXX.com.tw  AD獨立網域控制站。
       Windows 2008 XXX.com.cn  AD獨立網域控制站。

    雙方外部信任關係已建立,且分享資料權限也都可設定,我從Windows 2008上新增一個分享資料夾並付予Windows 2003網域使用者存取權限。從Windows 2003網域要存取Windows 2008分享資料夾時會出現錯誤視窗 描述為 "主要網域和受信網域間的信任關係失敗

    2009年10月21日 上午 07:19
  • 我指的是配置是DNS Server的配置..DC的部分我已經了解了

    另外..你是在2003網域內的DC上面去做存取? 還是網域中的其中一台Client端?

    建議你可以在無法存取的那台上面將防火牆關閉 & 防毒軟體關閉..看看是否改善
    微軟技術支援服務
    2009年10月21日 上午 07:26