现在,我有三个森林,正在尝试在它们之间建立信任。
我们将它们称为hopelessn00b.local、hopelessn00b.com和internal.hopelessn00b.com。
hopelessn00b.local我在和之间hopelessn00b.com以及hopelessn00b.local和之间配置了信任internal.hopelessn00b.com,但是当我去设置hopelessn00b.com和之间的信任时internal.hopelessn00b.com,它失败了,因为hopelessn00b.com无法联系internal.hopelessn00b.com。
因此,我检查了 DNS,果然,没有转发器或存根区域或任何可能告诉hopelessn00b.com如何到达 的东西internal.hopelessn00b.com。我检查了我的hopelessn00b.local林,它使用条件转发器到达其他两个域,因此我尝试使用hopelessn00b.com我的域控制器的 IP设置条件转发器internal.hopelessn00b.com。这失败了,并显示“区域配置错误”,在告诉我我的internal.hopelessn00b.com域控制器不具有该internal.hopelessn00b.com域的权威性(它们具有)。我认为这是因为internal.hopelessn00b.com是 的 DNS 子域hopelessn00b.com,即使它们是完全不同且不相关的 AD 林。
所涉及的功能级别是 2008 R2 和 2012,如果有所不同(但我认为没有),我非常希望建立这些信任,以便我可以将所有内容从这些命名不当的森林中迁移出来,然后将它们吹走,所以只internal.hopelessn00b.com留下来。
因此,我的问题是:
- 我在这里想要的是条件转发器吗,还是我应该使用其他东西?(可能是存根区域?)
- 我怎样才能强迫(或巧妙地)
hopelessn00b.com让别人相信我的说法,即的 DCinternal.hopelessn00b.com实际上具有权威性internal.hopelessn00b.com?
答案1
由于这两个域虽然位于不相关的 AD 林中,但却属于同一 DNS 命名空间,您必须使用 DNS 委派。