我有一个名为的普通域用户帐户约翰1在域A。
最近,我们公司与另一家公司合并(域B),然后我们在 2x 林之间建立了林间信任,使用选择性身份验证而不是林范围身份验证。
同时,我获得了一个域用户帐户约翰2在域B。
在域 A 中已加入域的计算机上,我以以下身份登录约翰1(我的域 A 帐户),并能够Get-ADUser成功针对域 A 用户运行。
在域 B 中已加入域的计算机上,我以约翰2(我的域 B 帐户)并且能够Get-ADUser成功针对域 B 用户运行。
但是,在域 A 中已加入域的计算机上,我打开了 Powershell ISE(不是以...身份运行),并尝试Get-ADUser针对域 B 用户运行命令,但失败了。以下是我尝试的方法:
get-aduser -Server domainB-DC.company.com -Identity alex.hall -Credential "domainB\john2"
get-aduser : Unable to contact the server. This may be because this server does not exist, it is currently down, or it does not have the Active Directory Web Services running.
At line:1 char:1
+ get-aduser -Server domainB-DC.company.com -Identity alex.hall -Credent ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ResourceUnavailable: (alex.hall:ADUser) [Get-ADUser], ADServerDownException
+ FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADUser
当我在域 A 中已加入域的计算机上使用“domainB\john2”运行 Run-As Powershell ISE 并发出以下信息时,出现了相同的错误消息get-aduser -Server domainB-DC.company.com -Identity alex.hall
我确认 domainB-DC.company.com 已启动并正在运行,ADWS 也正在运行。
另一方面,我能够在域 A 中已加入域的计算机上运行 ADUC(Active Directory 用户和计算机),通过以下命令通过命令提示符查看域 B Active Directory:C:\WINDOWS\system32\runas.exe /u:domainB\john2 /netonly "mmc %windir%\system32\dsa.msc /domain="domainB"
我请防火墙人员跟踪在运行 cmdlet 时是否有任何从加入域的域 A 计算机到 domainB-DC.company.com 的流量Get-ADUser,令人惊讶的是,他说他没有看到任何流量。
有人遇到过这样的问题吗?
答案1
我认为这是预期的行为。您创建了具有选择性身份验证的林信任,但未声明已将“允许身份验证”权限分配给您尝试访问的资源(在本例中为域控制器)。
http://anexinetisg.blogspot.com/2014/09/forest-trust-issue-with-selective.html
答案2
无法连接服务器。这可能是因为该服务器不存在、当前已关闭或未运行 Active Directory Web 服务。
这表明它可能与 DNS 有关。您能解析“domainB-DC.company.com”并 ping 吗?如果不能,我会验证正向查找区域或条件转发器是否正常工作。