none
使用ADMT移轉後出現"此工作站和主要網域間的信任關係失敗"問題 RRS feed

  • 問題

  • 執行ADMT時出現問題

    1. 使用ADMT3.2及pwdmig將A網域(a.com.tw)的帳號密碼及SID移轉至B網域(b.com.tw)
    2. 找一台A網域工作站,退出網域後重開機。加入B網域,出現歡迎加入畫面後重開機
    3. 重開後使用者登入跳出"此工作站和主要網域間的信任關係失敗",無法登入
    4. 使用local admin帳號登入工作戰,電腦名稱及網域加入B網域是成功的

    若有需要補充或測試的地方還請不吝賜教

    2018年7月4日 上午 01:32

所有回覆

  • Hi 燦小黃,

    您可以參考一下這篇:Error message when you use ADMT version 3 to migrate computer accounts from one Windows Server 2003 domain to another: “ERR3:7075 Failed to change domain affiliation”


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

     

    Please remember to click Mark as Answer on the post that helps you.
    This can be beneficial to other community members reading the thread.


    2018年7月4日 上午 03:05
  • 如果未曾加入過 A 網域的 PC1,
    是直接加入到 B 網域中,
    用 A 網域移轉過去的帳號登入 PC1,
    可以正常登入嗎

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部

    論壇不是神壇,沒人會通靈知道問題狀況
    請正確簡述標題及詳述狀況
    如何在論壇正確發問,可以參考iThome的文章:
    如何問到我要的答案

    2018年7月4日 上午 03:05
    版主
  • 您好,剛剛整理一台全新的電腦,登入並加入B網域後重開出現的錯誤訊息為"使用者名稱或密碼錯誤",使用者名稱為輸入 完整"user@b.com.tw"後登入,同樣出現"此工作站和主要網域間的信任關係失敗"

    感謝您的回覆

    2018年7月4日 上午 06:26
  • 建議檢查一下該使用者的屬性是否有正確移轉,
    像是舊有網域的使用者 SID 等

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部

    論壇不是神壇,沒人會通靈知道問題狀況
    請正確簡述標題及詳述狀況
    如何在論壇正確發問,可以參考iThome的文章:
    如何問到我要的答案

    2018年7月4日 上午 07:06
    版主
  • 您好,確認其他使用者帳號登入也是同樣的狀況
    檢查屬性皆有移轉,也有退出網域重新登入取得新的SID,狀況相同

    謝謝

    2018年7月4日 上午 07:52
  • 今天測試了兩個新的方式

    1.B網域DC(2008r2)直接新增一個帳號,但用這個帳號登入B網域同樣出現"此工作站和主要網域間的信任關係失敗",無法登入

    2.在工作站(Win7)使用網路識別精靈登錄B網域,出現失敗訊息"無法連接網路位置"

    但在A&B DC皆可ping到對方,使用完整域名"a.com.tw &b.com.tw"皆可ping通

    謝謝

    2018年7月5日 上午 01:41
  • B 網域的 AD 複寫或運作狀況是否檢查過?
    工作站的 DNS 是否有正確「僅」指向到 B 網域的 DC/DNS

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部

    論壇不是神壇,沒人會通靈知道問題狀況
    請正確簡述標題及詳述狀況
    如何在論壇正確發問,可以參考iThome的文章:
    如何問到我要的答案

    2018年7月5日 上午 07:28
    版主
  • 在A網域工作站使用nslookup
    nslookup a.com.tw
    伺服器:  UnKnown
    Address:  172.16.0.210
    名稱:    a.com.tw
    Addresses:  172.16.0.211
              172.16.0.210

    nslookup b.com.tw
    伺服器:  UnKnown
    Address:  172.16.0.210

    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.

    未經授權的回答:
    名稱:    b.com.tw
    Addresses:  172.16.20.12
            172.16.20.11

    在b網域工作站使用nslookup
    nslookup a.com.tw
    伺服器:  UnKnown
    Address:  172.16.20.11

    未經授權的回答:
    名稱:    a.com.tw
    Addresses:  172.16.0.211
            172.16.0.210

    nslookup b.com.tw
    伺服器:  UnKnown
    Address:  172.16.20.11
    名稱:    b.com.tw
    Addresses:  172.16.20.12
            172.16.20.11
    • 已編輯 燦小黃 2018年7月5日 上午 10:22 update
    2018年7月5日 上午 10:02
  • 今天測試了兩個新的方式

    1.B網域DC(2008r2)直接新增一個帳號,但用這個帳號登入B網域同樣出現"此工作站和主要網域間的信任關係失敗",無法登入

    2.在工作站(Win7)使用網路識別精靈登錄B網域,出現失敗訊息"無法連接網路位置"

    但在A&B DC皆可ping到對方,使用完整域名"a.com.tw &b.com.tw"皆可ping通

    謝謝


    從這個狀況描述,會建議檢查 B 網域的 AD 複寫及相關運作狀況,
    可以先用 dcdiag 指令搭配參數或微軟出的 AD Replication Tool 進行檢測

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部

    論壇不是神壇,沒人會通靈知道問題狀況
    請正確簡述標題及詳述狀況
    如何在論壇正確發問,可以參考iThome的文章:
    如何問到我要的答案

    2018年7月5日 下午 04:51
    版主
  • 您好,在B網域的DC使用 dcdiag 執行後,僅出現以下錯誤訊息
    "Starting test:Systemlog 
    An error event occurred. Event ID: 0x00002720
                                               Time Generates:07/06/2018 11:19
                                               Event String:
    The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID.........................TW-DC01 failed test Systemlog

                                                

    2018年7月6日 上午 03:23
  • 我在B網域dc01建lab帳號,在dc02有看到複寫成功,這樣可以嗎?
    複寫在處理dc間的通訊,和我的用戶端問題有是否有關,僅是小小疑問
    2018年7月6日 上午 03:42
  • 剛那個 Systemlog 錯誤單純是讀出最近的系統錯誤事件,
    但描述的事件看起來並沒有跟 AD 相關

    之前測試的全新電腦卻登入失敗,
    是否有安裝其他第三方軟體像是防毒之類的呢?
    複寫的部分直接裝微軟的 AD Replication Status Tool 檢查看看


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部

    論壇不是神壇,沒人會通靈知道問題狀況
    請正確簡述標題及詳述狀況
    如何在論壇正確發問,可以參考iThome的文章:
    如何問到我要的答案

    2018年7月6日 上午 03:48
    版主
  • 您好,新電腦僅只有Dell原廠設定,尚未安裝第三方軟體及防毒
    另外好奇的是我在B網域dc01建lab帳號,在dc02有看到複寫成功,這樣可以嗎?
    複寫在處理dc間的通訊,和我的用戶端問題有是否有關,僅是小小疑問

    2018年7月6日 上午 04:29
  • 主要是先確認 AD 基本運作是否正常,
    因為用戶端登入時不一定會找哪一台 DC 做驗證

    目前建議可以從 DC 及用戶端上的事件錯誤著手檢查起


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部

    論壇不是神壇,沒人會通靈知道問題狀況
    請正確簡述標題及詳述狀況
    如何在論壇正確發問,可以參考iThome的文章:
    如何問到我要的答案

    2018年7月6日 上午 05:47
    版主
  • 用工具掃一下吧 AD Replication Status Tool 好用又不會跳針

    之前我在巨匠電腦上課

    現在我在家吃自己

    我的專業來自巨匠電腦

    2018年7月6日 上午 06:05
  • 各位大大好
    最後確認是Office-Server Farm的網路防火牆設定
    將AD需要的port擋下了,目前還在驗證是哪些port
    暫時全部放行,加入domain都完全沒有問題

    感謝各位大大的幫忙

    2018年7月17日 上午 03:45