服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Windows林信任具有相同主机名的两个域控制器之间
Intereting Posts
供应商locking或pipe理风险(PaaS vs IaaS) IIS Web场反向代理设置 由于未满足的依赖关系,应用程序不能安装 我如何控制逐步file upload与cron或类似? 确定用户使用PowerShell访问共享文件夹 terminal输出不能更新显示,直到按下input键 我如何在不断电的情况下在Windows上创build自动HDR备份映像? 在SVN智能自动完成(和其他程序!) 如何获得一个Linuxnetworking日志? 使用微软自己的SMTP服务器与第三方服务器有什么优缺点? pnp4nagios中负载平均graphics值小于1.0,由值“m” UDP泛滥多个服务器 更改Amazon ECS服务的任务放置策略 死的Linux服务器 – 需要帮助和选项 将应用程序集成到Windows 7 install.wim映像的最佳方法

Windows林信任具有相同主机名的两个域控制器之间

所以,我有两个森林,我们称之为alpha.example.combravo.example.com 。 域的NETBIOS名称分别是ALPHA和BRAVO。 这似乎意味着域命名没有问题,它们有两个不同的名称,不pipe是DNS方式还是NETBIOS方式。

我有以下服务器作为域控制器:

  • dc01.alpha.example.com
  • dc02.alpha.example.com
  • dc01.bravo.example.com

当我试图在ALPHA和BRAVO之间build立一个森林信任时,我得到了“没有login服务器可用来为login请求提供服务”,实际上validation信任。 我在网上发现了一些论坛主题 ,同时也听到了一些轶事证据,说明将两个域连接在一起时,两个域中域控制器的名称都是相同的。 这对我来说似乎没有意义,听起来像是微软工具中的一个错误。

我不认为这应该是一个问题,因为dc01.alpha.example.com和dc01.bravo.example.com显然是两个不同的机器,但Windows似乎并不认同我。

我是否错过了一些能使我的设置正常工作的信息? 不幸的是,重命名域控制器对我们来说是一个糟糕的答案,因为最终的游戏将大量的森林连接在一起,这些森林都具有相同的域控制器。 这将意味着重命名一堆DC:s。

为了logging,重命名一个域控制器确实让我build立了一个信任,但是如果我能帮上忙的话,我真的不希望在现实世界中这样做。

实验室中的所有计算机都在修补程序上运行Windows Server 2012 R2,但没有安装特殊的修补程序。

DNS的设置方式如下:在ALPHA域中,为bravo.example.com添加一个存根区域,指向dc01.bravo.example.com的IP地址。 而dc01.bravo.example.com则使用dc01.alpha.example.com和dc01.bravo.example.com作为上游DNS。 这是一个hacky设置(因为它是一个实验室…),但结果是正确的工作在两种方式DNSparsing。 dc01.bravo.example.com可以parsingbravo.example.com中的名称(因为它是权威的),并且alpha.exaple.com名称可以正确parsing,因为上游DNS对它是权威的。 alpha中的parsing器可以正确parsingbravo的名称,因为存根区域(添加到AD以便两个DNS服务器都可以得到它)。

我另外尝试过:

  • 从存根区域更改为有条件的转发器
  • 运行森林信任而不是外部信任

症状没有改变。

你的问题是由于所谓的名称后缀路由。 下面的文章描述了这个问题: https : //technet.microsoft.com/en-us/library/cc784334%28v=ws.10%29.aspx它指出netdom可以用来解决这个问题。

文章部分说明

在森林之间路由名称后缀

名称后缀路由是一种用于pipe理身份validation请求在森林信任关联在一起的Windows Server 2003林中如何路由的机制。 为简化身份validation请求的pipe理,最初创build林信任时,所有唯一名称后缀默认路由。 唯一名称后缀是林中的名称后缀,如不隶属于任何其他名称后缀的用户主体名称(UPN)后缀,服务主体名称(SPN)后缀或DNS林或域树名称。 例如,DNS林名称microsoft.com是microsoft.com林中的唯一名称后缀。

森林可以包含多个唯一的名称后缀,并且具有唯一名称后缀的所有子项都隐式路由。 在Active Directory域和信任中,由于这个原因,名称后缀在起始处以星号(*)出现。 例如,如果您的林使用.microsoft.com作为唯一的名称后缀,那么microsoft.com( .child.microsoft.com)的所有子级的身份validation请求将被路由,因为子域是microsoft.com名称的一部分后缀。

如果在两个林之间存在林信任关系,则可以使用一个林中不存在的名称后缀将authentication请求路由到另一个林。 当一个新的子名称后缀( .child.widgets.com)被添加到唯一的名称后缀( .widgets.com)时,子名称后缀将inheritance它所属的唯一名称后缀的路由configuration。 validation信任后,任何在林信任build立之后创build的新的唯一名称后缀将在林信任属性对话框中可见。 但是,默认情况下,这些新的唯一名称后缀的路由将被禁用。 有关如何validation信任的更多信息,请参阅validation信任。

当检测到重复的名称后缀时,默认情况下将禁用最新名称后缀的路由。 有关如何路由名称后缀的更多信息,请参阅启用或禁用路由中的现有名称后缀。 pipe理员可以使用森林信任“属性”对话框手动防止将特定名称后缀的身份validation请求路由到目录林。

注•不要将@符号添加到UPN后缀或用户名中。 当身份validation请求路由到受信任的林中时,第一个@符号之前的所有字符将被解释为用户名,而第一个@符号之后的所有字符将被解释为UPN后缀。

?本地安全机构(LSA)将阻止路由到任何不是有效的DNS名称的UPN后缀。 例如,向UPN后缀添加@符号将导致它自动被禁用。