Назад | Перейти на главную страницу

После создания не удается проверить доверие внешнего домена. Домен не найден?

Я пытаюсь установить одностороннее доверие в своей лаборатории. LAB.local - это доверенный домен, а RED.local - доверенный домен. Условная переадресация настроена для обоих указателей друг на друга. DC01.LAB.local [10.32.1.1] разрешает и отвечает на DC01.RED.local [10.35.1.1] и наоборот.

Контроллеры домена работают под управлением Server 2019 на разных отдельных хостах ESXi 6.5, каждый со своим собственным маршрутизатором pfSense с правилами брандмауэра, разрешающими все на IPv4. Брандмауэр ОС в настоящее время отключен, а сетевое расположение - Домен.

Доверие создается графическим интерфейсом без каких-либо проблем:

Когда я пытаюсь добавить свою глобальную группу LAB.local в локальную группу RED.local из ADUC, работающего на DC01.RED.local, домен LAB.local виден, но при просмотре требуются учетные данные. После добавления и закрытия окна свойств группы, а затем открытия, я вижу только SID с сообщением: Некоторые имена объектов не могут быть отображены в удобной для пользователя форме. Это может произойти, если объект находится во внешнем домене, и этот домен недоступен для перевода имени объекта.

Когда я пытаюсь проверить свое доверительное отношение из окна ADDT, я получаю сообщение об ошибке: Сброс безопасного канала (SC) на контроллере домена Active Directory \ DC01.RED.local домена RED.local на домен LAB.local завершился ошибкой: мы не можем войти в систему с этими учетными данными, потому что ваш домен недоступен. Убедитесь, что ваше устройство подключено к сети вашей организации, и повторите попытку. Если вы ранее входили в систему на этом устройстве с другими учетными данными, вы можете войти в систему с этими учетными данными.

Выполнение нескольких команд NLTEST:

C:\Users\REDAdmin>nltest /trusted_domains
List of domain trusts:
    0: LAB LAB.local (NT 5) (Direct Outbound) ( Attr: quarantined )
    1: RED RED.local (NT 5) (Forest Tree Root) (Primary Domain) (Native)
The command completed successfully

C:\Users\REDAdmin>nltest /dclist:red.local
Get list of DCs in domain 'red.local' from '\\DC01.RED.local'.
    DC01.RED.local [PDC]  [DS] Site: REDCorpBelgiumHQ
The command completed successfully

C:\Users\REDAdmin>nltest /dclist:lab.local
Get list of DCs in domain 'lab.local' from '\\DC01.LAB.local'.
You don't have access to DsBind to lab.local (\\DC01.LAB.local) (Trying NetServerEnum).
I_NetGetDCList failed: Status = 6118 0x17e6 ERROR_NO_BROWSER_SERVERS_FOUND

C:\Users\REDAdmin>nltest /server:dc01 /sc_query:lab.local
Flags: 0
Trusted DC Name
Trusted DC Connection Status Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
The command completed successfully

Кто-нибудь может сказать мне, что я делаю не так, пожалуйста?

Кажется, я нашел причину, по которой это не сработало.

В своей лаборатории я использовал ту же политику именования, что и мои участники. Это привело к DC01 для каждого первого контроллера домена в каждой среде. Таким образом, в своем полном имени все они уникальны.

Однако Active Directory, похоже, использует Netbios несколько раз, и когда оба контроллера домена имеют одинаковое имя NETBIOS, это приводит к этим проблемам.

Чтобы устранить эту проблему, я понизил уровень своего контроллера домена RED.local, переименовал DC01 в RED-DC01, повысил его до контроллера домена, повторно создал свои лабораторные объекты AD, добавил условные серверы пересылки DNS и создал доверие. БАМ, валидация работает.

Мне действительно кажется странным, что это требование, чтобы доверие работало. DC01 кажется часто используемым именем для основного контроллера домена. Когда две компании объединяются, это может стать очень большой проблемой.