У меня 2 леса - domainA.com и domainB.net. По каждому из них установлено двустороннее доверие. Когда я пытаюсь найти объекты, расположенные на domainB.net, с domainA.com, я получаю следующую ошибку:
Система не может связаться с контроллером домена для обслуживания запроса аутентификации.
Если я попробую выполнить поиск наоборот (на domainA.com из domainB.net), все заработает.
Вот несколько тестов, которые я сделал на данный момент:
C:\Windows\system32>nltest /sc_verify:domainB.net
Flags: b0 HAS_IP HAS_TIMESERV
Trusted DC Name \\DCNAME.domainB.net
Trusted DC Connection Status Status = 0 0x0 NERR_Success
Trust Verification Status = 0 0x0 NERR_Success
The command completed successfully
PS C:\Windows\system32> Get-ADTrust -filter {name -eq "domainB.net"}
Direction : BiDirectional
DisallowTransivity : False
DistinguishedName : CN=domainB.net,CN=System,DC=domainA,DC=com
ForestTransitive : True
IntraForest : False
IsTreeParent : False
IsTreeRoot : False
Name : domainB.net
ObjectClass : trustedDomain
ObjectGUID : 4cfb2e5b-6c89-05a0-bb33-64fec64344e4
SelectiveAuthentication : False
SIDFilteringForestAware : False
SIDFilteringQuarantined : False
Source : DC=domainA,DC=com
Target : domainB.net
TGTDelegation : False
TrustAttributes : 8
TrustedPolicy :
TrustingPolicy :
TrustType : Uplevel
UplevelOnly : False
UsesAESKeys : False
UsesRC4Encryption : False
Также есть 3 разных леса с такими же настройками, как у domainB.net, и той же ошибкой.
Я новичок в доверительных отношениях с лесом, поэтому приветствую любую помощь.
Я нашел корень проблемы. В лесу A есть несколько доменов, поэтому учетная запись, из которой я пытался перечислить ресурсы леса B, принадлежит домену C, включенному в лес A, хотя учетная запись была в группе администраторов предприятия. Проблема решена созданием учетной записи в корневом домене леса. Спасибо за помощь.
Это не связано с DNS? «Невозможно связаться с контроллером домена» означает, что он либо не может пройти (что может, поскольку может подключиться другим способом), либо не знает, где искать.
Если вы nslookup domainA.net из своих контроллеров домена domainB.net и наоборот, правильно ли они разрешаются (т.е. список всех контроллеров домена)? Это работает со всеми DC в ваших 2 лесах?
Как DNS-серверы двух доменов ссылаются на DNS-домены других доменов? У вас есть заглушки или серверы условной пересылки, настроенные на обеих сторонах, и все ли контроллеры домена во всех доменах правильно настроены?