Назад | Перейти на главную страницу

Контроллер домена с двусторонним доверием леса не видит объекты из другого леса

У меня 2 леса - domainA.com и domainB.net. По каждому из них установлено двустороннее доверие. Когда я пытаюсь найти объекты, расположенные на domainB.net, с domainA.com, я получаю следующую ошибку:

Система не может связаться с контроллером домена для обслуживания запроса аутентификации.

Если я попробую выполнить поиск наоборот (на domainA.com из domainB.net), все заработает.

Вот несколько тестов, которые я сделал на данный момент:

C:\Windows\system32>nltest /sc_verify:domainB.net
Flags: b0 HAS_IP  HAS_TIMESERV
Trusted DC Name \\DCNAME.domainB.net
Trusted DC Connection Status Status = 0 0x0 NERR_Success
Trust Verification Status = 0 0x0 NERR_Success
The command completed successfully

PS C:\Windows\system32> Get-ADTrust -filter {name -eq "domainB.net"}

Direction               : BiDirectional
DisallowTransivity      : False
DistinguishedName       : CN=domainB.net,CN=System,DC=domainA,DC=com
ForestTransitive        : True
IntraForest             : False
IsTreeParent            : False
IsTreeRoot              : False
Name                    : domainB.net
ObjectClass             : trustedDomain
ObjectGUID              : 4cfb2e5b-6c89-05a0-bb33-64fec64344e4
SelectiveAuthentication : False
SIDFilteringForestAware : False
SIDFilteringQuarantined : False
Source                  : DC=domainA,DC=com
Target                  : domainB.net
TGTDelegation           : False
TrustAttributes         : 8
TrustedPolicy           : 
TrustingPolicy          : 
TrustType               : Uplevel
UplevelOnly             : False
UsesAESKeys             : False
UsesRC4Encryption       : False

Также есть 3 разных леса с такими же настройками, как у domainB.net, и той же ошибкой.

Я новичок в доверительных отношениях с лесом, поэтому приветствую любую помощь.

Я нашел корень проблемы. В лесу A есть несколько доменов, поэтому учетная запись, из которой я пытался перечислить ресурсы леса B, принадлежит домену C, включенному в лес A, хотя учетная запись была в группе администраторов предприятия. Проблема решена созданием учетной записи в корневом домене леса. Спасибо за помощь.

Это не связано с DNS? «Невозможно связаться с контроллером домена» означает, что он либо не может пройти (что может, поскольку может подключиться другим способом), либо не знает, где искать.

Если вы nslookup domainA.net из своих контроллеров домена domainB.net и наоборот, правильно ли они разрешаются (т.е. список всех контроллеров домена)? Это работает со всеми DC в ваших 2 лесах?

Как DNS-серверы двух доменов ссылаются на DNS-домены других доменов? У вас есть заглушки или серверы условной пересылки, настроенные на обеих сторонах, и все ли контроллеры домена во всех доменах правильно настроены?