我有 2 个林 - domainA.com 和 domainB.net。每个林上都设置了双向信任。当我尝试从 domainA.com 搜索位于 domainB.net 上的对象时,出现以下错误:
系统无法联系域控制器来处理身份验证请求。
如果我尝试反之亦然(从 domainB.net 在 domainA.com 上搜索),则一切正常。
以下是我目前进行的一些测试:
C:\Windows\system32>nltest /sc_verify:domainB.net
Flags: b0 HAS_IP HAS_TIMESERV
Trusted DC Name \\DCNAME.domainB.net
Trusted DC Connection Status Status = 0 0x0 NERR_Success
Trust Verification Status = 0 0x0 NERR_Success
The command completed successfully
PS C:\Windows\system32> Get-ADTrust -filter {name -eq "domainB.net"}
Direction : BiDirectional
DisallowTransivity : False
DistinguishedName : CN=domainB.net,CN=System,DC=domainA,DC=com
ForestTransitive : True
IntraForest : False
IsTreeParent : False
IsTreeRoot : False
Name : domainB.net
ObjectClass : trustedDomain
ObjectGUID : 4cfb2e5b-6c89-05a0-bb33-64fec64344e4
SelectiveAuthentication : False
SIDFilteringForestAware : False
SIDFilteringQuarantined : False
Source : DC=domainA,DC=com
Target : domainB.net
TGTDelegation : False
TrustAttributes : 8
TrustedPolicy :
TrustingPolicy :
TrustType : Uplevel
UplevelOnly : False
UsesAESKeys : False
UsesRC4Encryption : False
还有 3 个不同的林,具有与 domainB.net 相同的设置和相同的错误。
我对森林信任关系还不熟悉,因此非常感谢任何帮助。
答案1
我找到了问题的根源。森林 A 中有几个域,因此我尝试列出森林 B 资源的帐户属于 A 森林中包含的 C 域,尽管帐户属于企业管理员组。通过在森林 A 根域中创建帐户解决了问题。谢谢帮助。
答案2
这与 DNS 无关,对吧?“无法联系域控制器”意味着它无法通过(它可以,因为它可以通过另一种方式连接)或不知道在哪里查找。
如果您从 domainB.net DC nslookup domainA.net 并反之,它们是否可以正确解析(即所有 DC 的列表)?这对您 2 个林中的所有 DC 都有效吗?
2 个域的 DNS 服务器如何引用其他域的 DNS 域?您是否在两侧设置了存根区域或条件转发器,并且所有域中的所有 DC 是否都已正确设置?