正在解决在两个域之间建立信任的问题,这两个域之间有多个防火墙,并且在两个服务器之间有针孔路由。
newdc.newdomain.com 是全新域中的 2012 服务器。admt.olddomain.local 是现有域中的 2008R2 服务器,有两个现有域控制器 dc1.olddomain.local 和 dc2.olddomain.local。正如您可能已经猜到的那样,此服务器将用于 Active Directory 迁移工具 (ADMT)
防火墙规则已设置到位,允许 newdc.newdomain.com 仅与 admt.olddomain.local 双向通信 Active Directory。所有 DNS 测试均正常,双方的 DCDIAG 也正常。
在 admt.olddomain.local 上创建信任时,我收到以下错误
传入信任已验证。它已到位并处于活动状态。传出信任验证失败,错误如下:信任密码验证测试未得出结论。将尝试重置安全通道。安全通道重置失败,错误 1311:当前没有可用于处理登录请求的登录服务器。
但是,在两个域中都创建了传入和传出的信任。在 newdc.newdomain.com 上验证信任(双向)显示已成功验证。但是,当我尝试从服务器 admt.olddomain.local 验证信任时,出现以下错误:
在域 olddomain.local 到域 newdomain.com 的 Active Directory 域控制器 \dc1.olddomain.local 上重置的安全通道 (SC) 失败,并出现错误:当前没有可用的登录服务器来处理登录请求。
传入信任已成功验证。
我在这里看到了问题,即使我正在从 admt.olddomain.local 执行验证,它实际上也会尝试检查无法与服务器 newdc.newdomain.com 通信的 dc1.olddomain.local 的安全通道,但这真的是个问题吗?有没有办法强制从 admt.olddomain.local 进行验证?我们能否在此设置中使用 ADMT?(我们将很快使用它来尝试测试副本,只是为了看看当前设置中会发生什么)
最终,我们将使用相同的网络地址和防火墙配置/网络路由将此 admt.olddomain.local 服务器重建为 newdomain.com 的只读域控制器,并且它将是唯一能够与 dc01.olddomain.local 和 dc02.olddomain.local 通信的机器,但是我们是否会遇到同样的问题,因为 newdc.newdomain.com 无法直接路由到 dc01/dc02 来验证信任?
谢谢您对此的任何意见!
答案1
好的,这就是我们最终要做的事情,重建 AD 结构,以便 newdomain.com 在与 olddomain.com AD 服务器相同的网络上拥有一个 ADMT/DC 服务器,然后将 FSMO 角色转移到新域服务器,这样两个域就可以在 FSMO 主机之间直接通信,而不会被所有中间的防火墙搞乱。如果您已经为 DNS、防火墙等做好了一切准备,但仍然出现错误,请开始查看 FSMO 角色主机是否可以直接相互通信!