Между двумя лесами Windows установлено двустороннее доверие.
Мы постоянно получаем «ошибки» на наших контроллерах домена в обоих лесах AD в отношении клиентов, чьи IP-адреса не соответствуют подсети сайта AD.
Думаю, я понимаю причину. Клиент из FOREST-A отправляется в место в FOREST-B и входит в систему со своей учетной записью FOREST-A. Компьютер получает IP-адрес от DHCP-сервера в FOREST-B, но аутентификация AD происходит через WAN обратно на DC в FOREST-A. Затем этот контроллер домена регистрирует ошибку в файле c: \ windows \ debug \ netlogon.log на контроллере домена во время проверки подлинности клиента.
Хотя, вероятно, можно игнорировать ошибку, но есть ли способ исправить ее?
Добавьте соответствующие подсети в AD Sites and Servicesи, возможно, создать отдельный сайт, которому вы назначите эти подсети. Сайту не нужен собственный DC.