我正在尝试在我的实验室中建立单向信任。LAB.local 是受信任域,而 RED.local 是信任域。在指向彼此的两者上设置了条件转发。DC01.LAB.local [10.32.1.1] 解析并从 DC01.RED.local [10.35.1.1] 回复,反之亦然。
DC 在不同的独立 ESXi 6.5 主机上运行 Server 2019,每个主机都有自己的 pfSense 路由器,防火墙规则设置为允许 IPv4 上的所有内容。OS 防火墙当前已禁用,网络位置为域。
信任由 GUI 创建,没有任何问题:
当我尝试将我的 LAB.local 全局组从在 DC01.RED.local 上运行的 ADUC 添加到 RED.local 本地组时,LAB.local 域是可见的,但浏览时需要凭据。添加后,组属性窗口关闭并重新打开,我只会看到带有以下消息的 SID:某些对象名称无法以用户友好的形式显示。如果对象来自外部域,并且该域无法翻译对象名称,则会发生这种情况。
当我尝试从 ADDT 窗口验证我的信任关系时,出现错误:域 RED.local 的 Active Directory 域控制器 \DC01.RED.local 到域 LAB.local 的安全通道 (SC) 重置失败,错误为:我们无法使用此凭据让您登录,因为您的域不可用。请确保您的设备已连接到组织的网络,然后重试。如果您之前使用其他凭据在此设备上登录,则可以使用该凭据登录。
运行一些 NLTEST 命令:
C:\Users\REDAdmin>nltest /trusted_domains
List of domain trusts:
0: LAB LAB.local (NT 5) (Direct Outbound) ( Attr: quarantined )
1: RED RED.local (NT 5) (Forest Tree Root) (Primary Domain) (Native)
The command completed successfully
C:\Users\REDAdmin>nltest /dclist:red.local
Get list of DCs in domain 'red.local' from '\\DC01.RED.local'.
DC01.RED.local [PDC] [DS] Site: REDCorpBelgiumHQ
The command completed successfully
C:\Users\REDAdmin>nltest /dclist:lab.local
Get list of DCs in domain 'lab.local' from '\\DC01.LAB.local'.
You don't have access to DsBind to lab.local (\\DC01.LAB.local) (Trying NetServerEnum).
I_NetGetDCList failed: Status = 6118 0x17e6 ERROR_NO_BROWSER_SERVERS_FOUND
C:\Users\REDAdmin>nltest /server:dc01 /sc_query:lab.local
Flags: 0
Trusted DC Name
Trusted DC Connection Status Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
The command completed successfully
谁能告诉我我做错了什么?
答案1
我似乎找到了为什么它不起作用的原因。
在我的实验室中,我使用了与成员相同的命名策略。这导致每个环境中每个第一个域控制器的命名策略都是 DC01。因此,在它们的完全限定名称中,这些都是唯一的。
然而,Active Directory 似乎多次使用 Netbios,并且当两个域控制器具有相同的 NETBIOS 名称时,就会导致这些问题。
为了解决此问题,我已将我的 RED.local 域控制器降级,将 DC01 重命名为 RED-DC01,提升为域控制器,重新创建我的实验室 AD 对象,添加条件 DNS 转发器并创建信任。BAM,验证有效。
我确实觉得这很奇怪,这是信任发挥作用的必要条件。DC01 似乎是主域控制器经常使用的名称。当两家公司合并在一起时,这必定会形成一个非常大的问题。