处理两个域之间build立信任的问题,在两个域之间有多个防火墙,以及两个服务器之间的针孔路由。
newdc.newdomain.com是一个全新的域中的2012年服务器。 admt.olddomain.local是现有域中的2008R2服务器,具有两个现有的域控制器dc1.olddomain.local和dc2.olddomain.local。如您可能已经猜到的,此服务器将用于Active Directory迁移工具(ADMT)
有适当的防火墙规则允许newdc.newdomain.com只能以Active Directory与admt.olddomain.local这两种方式对话。 所有DNStesting都是正常的,双方都是DCDIAG。
在admt.olddomain.local上创build信任时,出现以下错误
传入的信任已被validation。 这是到位和积极的。 传出信任validation失败,出现以下错误:信任密码validationtesting没有结果。 将尝试安全通道重置。 安全通道重置失败,错误1311:目前没有login服务器可用于服务login请求。
然而,这两个领域的信托都是创build,传入和传出的。 validationnewdc.newdomain.com上的信任(两种方式)都会成功validation。 但是,当我试图validation信任从服务器admt.olddomain.local我得到以下错误:
将域olddomain.local的Active Directory域控制器\ dc1.olddomain.local上的安全通道(SC)重置为域newdomain.com失败,并显示错误消息:当前没有可用于login请求的login服务器。
传入的信任已成功validation。
我可以看到这里的问题,即使我正在执行来自admt.olddomain.local的validation,它实际上试图检查从dc1.olddomain.local的安全通道,它不能与服务器newdc.newdomain.com沟通,但是这真的是一个问题? 有没有办法强制从admt.olddomain.local进行validation? 我们能用这个设置使用ADMT吗? (我们即将尝试使用它的testing副本,只是为了看看当前设置中会发生什么)
最终,我们将使用相同的networking地址和防火墙configuration/networking路由将此admt.olddomain.local服务器重build为newdomain.com的只读域控制器,它将是唯一能够与dc01.olddomain .local和dc02.olddomain.local,但是我们有同样的问题,因为newdc.newdomain.com不能直接路由到dc01 / dc02来validation信任?
感谢您的任何意见!
OK,这就是我们最终做的,重buildAD结构,以便newdomain.com在与olddomain.com AD服务器相同的networking上有一个ADMT / DC服务器,然后将FSMOangular色转移到新的域服务器,这样两个域可以直接在FSMO大师之间进行讨论,而没有所有干预的防火墙搞砸了。 如果你已经准备好了DNS,防火墙等等,并且仍然有错误,那么就开始看看FSMOangular色的主人是否可以直接对话。