有两个域,并且两个域之间存在信任,这在很长一段时间内都运行良好,但现在我们收到拒绝访问错误。因此,我打开“域和信任”并验证两个域之间的信任。在以下对话框中显示以下错误:
The secure channel (SC) verification on Active Directory Domain Controller \\pdc.site1.company.tld of domain site1.company.tld to domain site2.company.tld failed with error: Access is denied.
The secure channel (SC) reset on Active Directory Domain Controller \\pdc.site1.company.tld of domain site1.company.tld to domain site2.company.tld failed with error: Access is denied.
The secure channel (SC) verification on Active Directory Domain Controller \\pdc.site2.company.tld of domain site2.company.tld to domain site1.company.tld failed with error: Access is denied.
The secure channel (SC) reset on Active Directory Domain Controller \\pdc.site2.company.tld of domain site2.company.tld to domain site1.company.tld failed with error: Access is denied.
接下来,我重置了信任密码并输入了来自其他域的域管理员的凭据,但出现以下错误:
和
如果我从其他 DC 尝试,也会出现同样的问题。我检查了条件转发器,看起来不错。我还删除了每个域上的信任并重新创建了信任级别,但问题依然存在。我该如何解决这个信任问题?
两个 DC 均在域功能级别 Windows Server 2008 R2 中运行 Windows Server 2008 R2。
答案1
我知道这是一个老问题,但我昨天也遇到了同样的问题。我最终偶然发现的解决办法是使用 Netdom 重置信任。
例如:
对于域 abc 和 xyz - 使用适当的用户名和密码
在 Forest 域中的域控制器上(在管理命令行中)
netdom trust /d:abc xyz /verify /Uo:用户名/Po:密码/Ud:用户名/Pd:密码
然后在另一个(子)域中反向操作-切换用户名等...
netdom trust /d:xyz abc /verify /Uo:用户名/Po:密码/Ud:用户名/Pd:密码
并且这有效——机器可以验证并且组策略开始再次工作。
(当我们从我们的一个子域执行 gpupdate 时,我们收到“无法绑定到 ldap 服务器”错误)。