具有相同主机名的两个域控制器之间的 Windows 林信任

具有相同主机名的两个域控制器之间的 Windows 林信任

所以我有两个森林,我们叫它们alpha.example.combravo.example.com。这两个域的 NETBIOS 名称分别为 ALPHA 和 BRAVO。这似乎意味着域名命名没有问题,它们有两个不同的名称,无论是 DNS 名称还是 NETBIOS 名称。

我有以下服务器作为域控制器:

  • dc01.alpha.example.com
  • dc02.alpha.example.com
  • dc01.bravo.example.com

当我尝试在 ALPHA 和 BRAVO 之间建立森林信任时,在实际验证信任时,我收到“没有可用的登录服务器来处理登录请求”的消息。我发现一些论坛主题在网上也听到一些传闻,称当两个域连接在一起时,如果两个域中的域控制器名称相同,则会出现问题。这对我来说似乎没有意义,听起来像是 Microsoft 工具中的一个错误。

我不认为这是一个问题,因为 dc01.alpha.example.com 和 dc01.bravo.example.com 显然是两台不同的机器,但 Windows 似乎不同意我的看法。

我是否遗漏了一些能够使此设置正常工作的信息?不幸的是,重命名域控制器对我们来说不是一个好办法,因为最终结果是将许多具有同名域控制器的林连接在一起。这意味着要重命名一堆 DC:。

顺便说一下,重命名其中一个域控制器确实允许我建立信任,但如果可以的话,我真的不想在现实世界中这样做。

实验室中的所有机器都运行最新补丁的 Windows Server 2012 R2,但未安装任何特殊的修补程序。

DNS 的设置方式如下:在 ALPHA 域中,为 bravo.example.com 添加了一个存根区域,指向 dc01.bravo.example.com 的 IP 地址。反过来,dc01.bravo.example.com 使用 dc01.alpha.example.com 和 dc01.bravo.example.com 作为上游 DNS。这是一个有点不靠谱的设置(因为它是一个实验室……),但结果是 DNS 解析在两种方式下都能正常工作。dc01.bravo.example.com 可以解析 bravo.example.com 中的名称(因为它具有权威性),并且 alpha.exaple.com 名称被正确解析,因为上游 DNS 对它具有权威性。alpha 中的解析器可以正确解析 bravo 的名称,因为有存根区域(已添加到 AD 中,因此两个 DNS 服务器都可以获取它。)

我还尝试过:

  • 从存根区域更改为条件转发器
  • 运行林信任而不是外部信任

症状無變化。

答案1

您的问题是由于所谓的名称后缀路由造成的。以下文章描述了该问题: https://technet.microsoft.com/en-us/library/cc784334%28v=ws.10%29.aspx 它指出可以使用 netdom 来解决该问题。

本文部分指出

跨林的路由名称后缀

名称后缀路由是一种机制,用于管理身份验证请求如何在通过林信任连接在一起的 Windows Server 2003 林之间路由。为了简化身份验证请求的管理,在最初创建林信任时,默认情况下将路由所有唯一名称后缀。唯一名称后缀是林内的名称后缀,例如用户主体名称 (UPN) 后缀、服务主体名称 (SPN) 后缀或 DNS 林或域树名称,不从属于任何其他名称后缀。例如,DNS 林名称 microsoft.com 是 microsoft.com 林内的唯一名称后缀。

林可以包含多个唯一名称后缀,并且所有唯一名称后缀的子项都将被隐式路由。在 Active Directory 域和信任中,名称后缀以星号 (*) 开头。例如,如果您的林使用.microsoft.com 作为唯一名称后缀,则对 microsoft.com 的所有子级的身份验证请求(.child.microsoft.com 将被路由,因为子域是 microsoft.com 名称后缀的一部分。

如果两个林之间存在林信任,则可以使用一个林中不存在的名称后缀将身份验证请求路由到第二个林。当新的子名称后缀 (.child.widgets.com) 被添加到一个唯一的名称后缀(.widgets.com),子名称后缀将继承其所属的唯一名称后缀的路由配置。在建立林信任后创建的任何新的唯一名称后缀都将在您验证信任后显示在林信任属性对话框中。但是,默认情况下将禁用这些新的唯一名称后缀的路由。有关如何验证信任的详细信息,请参阅验证信任。

当检测到重复的名称后缀时,默认情况下将禁用最新名称后缀的路由。有关如何路由名称后缀的详细信息,请参阅启用或禁用现有名称后缀的路由。管理员可以使用林信任属性对话框手动阻止将特定名称后缀的身份验证请求路由到林。

注意 • 请勿将 @ 符号添加到 UPN 后缀或用户名中。当身份验证请求路由到受信任的林时,第一个 @ 符号之前的所有字符都将被解释为用户名,而第一个 @ 符号之后的所有内容都将被视为 UPN 后缀。

• 本地安全机构 (LSA) 将阻止路由到任何不是有效 DNS 名称的 UPN 后缀。例如,在 UPN 后缀中添加 @ 符号将导致其自动被禁用。

相关内容