2008 年至 2003 年的域名信托

2008 年至 2003 年的域名信托

我在建立 Windows Server 2003 和 Windows Server 2008 AD 之间的信任关系时遇到了麻烦。

域 a 是 Windows Server 2003 林功能级别。

域 b 是 Windows Server 2008 林功能级别。

我可以在域“a”上设置信任关系的传入端,以便它信任域“b”。

尽管我在域“b”上进行了尝试,但我无法与域“a”建立信任关系的传出端。

GUI 界面给出了无用的“不支持该请求”。

我不确定 netdom 是否有用,因为它会引导我找到 FilterSID

netdom trust /add b /uo:b\admin /po:* /d:a /ud:a\admin /pd:* /oneside:trusting
为了提高这种外部信任的安全性,安全标识符 (SID)
启用过滤,但是,如果用户已迁移到受信任的
域及其 SID 历史记录已保存,您可以选择关闭此功能
特征。

有关 SID 过滤的更多信息以及如何关闭它,请参阅帮助
有关 netdom trust /FilterSids 或参阅“帮助和支持”。

不支持该请求。

该命令未能成功完成。

我说“不太有帮助”是因为 Windows Server 2008 不支持 /FilterSIDs 选项。

我们如何才能强制建立这种信任?

编辑: 需要澄清的是,我已检查 [计算机配置\Windows 设置\安全设置\本地策略\安全选项]“网络访问:允许匿名 SID/名称转换”是否已在信任双方启用,具体如下:http://social.technet.microsoft.com/Forums/en/winserverDS/thread/cc61fc25-3569-4413-bbfd-92390eb31118

答案1

我可以在域“a”上设置信任关系的传入端,以便它信任域“b”。

这很奇怪。因为如果信任来自域 a,则意味着 a 是受信任的域。即:b 信任 a。

首先尝试设置信任的传出部分。

您的命令尝试仅在域 b 上创建信任的传出(信任)部分。我认为在这种情况下您需要设置信任密码。请参阅: http://technet.microsoft.com/de-de/library/cc835085(WS.10).aspx

TRUSTING:指定在信任域上创建或删除信任对象。仅当指定 /add 或 /remove 参数时,此值才有效。使用 /add 或 /remove 参数时,/passwordt 参数是必需的。

为什么要使用 /oneside?为什么不让 netdom 同时创建信任的双方?

并确保两个域中没有同名的 DC,否则信任验证将失败。

相关内容