问题
由于我们组织合并,我们将迁移到新的通用 Active Directory 域。我们的旧域和新域之间具有双向信任。
我们的旧域中有两台主文件服务器,用户在这些服务器上拥有一个个人文件夹。有些用户的文件夹位于一台服务器上,有些位于另一台服务器上,具体取决于他们所在的部门。在这些个人文件夹中,直接使用用户帐户授予 NTFS 权限。
用户在旧域和新域中都有一个帐户。因此,现在我正在为新(受信任)域中的相应用户添加对这些个人文件夹的权限。奇怪的是,这在一个文件服务器上运行正常,但在另一台文件服务器上却不行。
我在 powershell 中编写了此脚本并引发以下错误:
Add-NTFSAccess : Cannot bind parameter 'Account'. Cannot convert value "<New Domain>\<New Username>" to type "Security2.IdentityReference2". Error: "The trust relationship between the primary domain and the trusted domain failed.
当我手动尝试添加权限时。我可以看到其他域以及检查用户的名称。但是当我尝试应用权限时,我收到以下错误:
到目前为止我已经检查过的内容
- 受信任域的 DC 的 DNS 名称从文件服务器正确解析
- 已验证“域和信任”mmc 中的信任(顺便说一下,所有其他与信任相关的事物都运行良好)
- 文件服务器位于不同的防火墙区域。我要求网络人员暂时允许文件服务器和受信任域的 DC 之间的所有流量进行测试。(但无论如何,正确的端口应该已经打开,因为两个文件服务器的规则相同)
答案1
可能是信任问题。
再次检查 ntp :) 奇怪的问题有时只是一个愚蠢的时钟问题。在两个域上设置相同的 ntp。
再次检查信任和 DNS 名称。如果 ping 域名并且一切正常,请检查源服务器和目标服务器上的事件日志。
在 pshell 中使用 Test-computersecurechannel 尝试。
答案2
我在文件服务器上遇到了同样的问题。我检查了域信任,运行了Test-ComputerSecureChannel
,运行了我能找到的所有测试。DC 运行正常,并且可以在 DC 上编辑这些权限。
发现文件服务器的安全事件日志中出现错误 4625,状态为 0xC000005E
当前没有可用的登录服务器来处理登录请求。
结果我必须services.msc
在文件服务器上重新启动 Netlogon 服务。