我在建立 Windows Server 2003 和 Windows Server 2008 AD 之间的信任关系时遇到了麻烦。
域 a 是 Windows Server 2003 林功能级别。
域 b 是 Windows Server 2008 林功能级别。
我可以在域“a”上设置信任关系的传入端,以便它信任域“b”。
尽管我在域“b”上进行了尝试,但我无法与域“a”建立信任关系的传出端。
GUI 界面给出了无用的“不支持该请求”。
我不确定 netdom 是否有用,因为它会引导我找到 FilterSID
netdom trust /add b /uo:b\admin /po:* /d:a /ud:a\admin /pd:* /oneside:trusting 为了提高这种外部信任的安全性,安全标识符 (SID) 启用过滤,但是,如果用户已迁移到受信任的 域及其 SID 历史记录已保存,您可以选择关闭此功能 特征。 有关 SID 过滤的更多信息以及如何关闭它,请参阅帮助 有关 netdom trust /FilterSids 或参阅“帮助和支持”。 不支持该请求。 该命令未能成功完成。
我说“不太有帮助”是因为 Windows Server 2008 不支持 /FilterSIDs 选项。
我们如何才能强制建立这种信任?
编辑: 需要澄清的是,我已检查 [计算机配置\Windows 设置\安全设置\本地策略\安全选项]“网络访问:允许匿名 SID/名称转换”是否已在信任双方启用,具体如下:http://social.technet.microsoft.com/Forums/en/winserverDS/thread/cc61fc25-3569-4413-bbfd-92390eb31118
答案1
我可以在域“a”上设置信任关系的传入端,以便它信任域“b”。
这很奇怪。因为如果信任来自域 a,则意味着 a 是受信任的域。即:b 信任 a。
首先尝试设置信任的传出部分。
您的命令尝试仅在域 b 上创建信任的传出(信任)部分。我认为在这种情况下您需要设置信任密码。请参阅: http://technet.microsoft.com/de-de/library/cc835085(WS.10).aspx
TRUSTING:指定在信任域上创建或删除信任对象。仅当指定 /add 或 /remove 参数时,此值才有效。使用 /add 或 /remove 参数时,/passwordt 参数是必需的。
为什么要使用 /oneside?为什么不让 netdom 同时创建信任的双方?
并确保两个域中没有同名的 DC,否则信任验证将失败。