我正在尝试建立林信任并使用 ADMT 使用这组说明来迁移用户;ADMT 说明。我无法让双向信任正常工作。域 A (testad.domain.org) 不允许我将用户添加到域 B (target.migrate.org) 上的内置/管理员组。我可以选择域 A 信任作为位置,但当我搜索用户时,它说找不到它。此外,当我尝试在 AD 管理中心将域 A 添加为导航节点时,它说我没有权限。我能够毫无问题地验证双向信任。
我读到防火墙可能是一个问题,所以我暂时在两侧禁用它,但情况仍然相同。
我在域 A 和域 B 之间建立了单向传入信任。我能够将域 A 用户添加到域 B 的管理员组,但系统提示我输入域 A 上的用户访问信任的凭据。我还可以在域 B 上的 AD 管理中心将域 A 添加为导航节点。当我将信任转换为双向时,信任又中断了。
我能够在两个干净的域上完成整套说明,所以我知道它们有效。此外,当我通过双向信任将用户添加到内置/管理员组时,从未提示我输入凭据。
我认为域 A (testad.domain.org) 上的某些配置导致了此问题。我似乎无法确定问题出在哪里。
答案1
我找到了原因,这是域之间的 UTC 时差。域之间的系统时间匹配,但时区不同。我从未见过导致我预先深入研究系统时间的错误。我必须在信任的两侧设置共享,然后当我尝试从 B 访问域 A 上的共享时,我收到时钟同步错误。故事的寓意是;如果您怀疑时钟问题,请检查时间和时区。