Работа над проблемой с установкой доверия между двумя доменами с несколькими межсетевыми экранами между ними и маршрутизацией крошечного отверстия между двумя серверами в них.
newdc.newdomain.com - это сервер 2012 года в совершенно новом домене. admt.olddomain.local - это сервер 2008R2 в существующем домене с двумя существующими контроллерами домена dc1.olddomain.local и dc2.olddomain.local Этот сервер, как вы могли догадаться, будет использоваться для инструмента миграции Active Directory (ADMT)
Существуют правила брандмауэра, позволяющие newdc.newdomain.com взаимодействовать с Active Directory только с admt.olddomain.local в обоих направлениях. Все тесты DNS в порядке, как и DCDIAG с обеих сторон.
При создании доверия на admt.olddomain.local я получил следующую ошибку
Входящее доверие подтверждено. Он на месте и действует. Проверка исходящего доверия завершилась неудачно из-за следующих ошибок: проверка пароля доверия не принесла результатов. Будет произведена попытка сброса безопасного канала. Сброс безопасного канала завершился ошибкой 1311: в настоящее время нет доступных серверов входа для обслуживания запроса входа.
Однако трасты были созданы, входящие и исходящие, в обоих доменах. Проверка доверия (в обоих направлениях) на newdc.newdomain.com возвращается как проверенная успешно. Однако когда я пытаюсь подтвердить доверие с сервера admt.olddomain.local, я получаю следующую ошибку:
Сброс безопасного канала (SC) на контроллере домена Active Directory \ dc1.olddomain.local из домена olddomain.local в домен newdomain.com завершился ошибкой: в настоящее время нет доступных серверов входа для обслуживания запроса на вход.
Входящее доверие успешно подтверждено.
Я вижу здесь проблему, хотя я выполняю проверку из admt.olddomain.local, он фактически пытается проверить безопасный канал из dc1.olddomain.local, который не может взаимодействовать с сервером newdc.newdomain.com, но является это действительно проблема? Есть ли способ принудительно выполнить проверку с admt.olddomain.local? Сможем ли мы использовать ADMT с этой настройкой? (в ближайшее время мы собираемся опробовать тестовую копию, просто чтобы посмотреть, что происходит в текущей настройке)
В конце концов мы собираемся перестроить этот сервер admt.olddomain.local в контроллер домена только для чтения для newdomain.com, используя тот же сетевой адрес и конфигурацию брандмауэра / сетевую маршрутизацию, и это будет единственная машина, способная взаимодействовать с dc01.olddomain .local и dc02.olddomain.local, но будет ли у нас такая же проблема, поскольку newdc.newdomain.com не может напрямую маршрутизировать ни на dc01 / dc02 для проверки доверия?
Спасибо за любой вклад по этому поводу!
Итак, вот что мы в итоге сделали: перестроили структуру AD, чтобы у newdomain.com был сервер ADMT / DC в той же сети, что и AD-серверы olddomain.com, а затем перенесли роли FSMO на новый сервер домена, чтобы два домена мог непринужденно разговаривать между мастерами FSMO без того, чтобы все вмешивающиеся межсетевые экраны испортили дело. Если у вас все проработано для DNS, межсетевых экранов и т. Д., Но по-прежнему возникают ошибки, посмотрите, могут ли мастера ролей FSMO общаться друг с другом напрямую!