У меня есть родительский домен org.local и дочерний домен filial.org.local
И вот почему-то дочерний домен перестал доверять родительскому..
Запускаю на DC дочернего домена апплет "Домены и доверие", пытаюсь посмотреть свойства родительского домена -
получаю сообщение "Изменить сведения о доменах и доверии не удалось, поскольку не удалось связаться со следующим PDC-эмулятором: dc1.org.local. Проверьте что PDC-эмулятор и сеть работают нормально"
При выполнении аналогичной операции на DC родительского домена никаких проблем нет.
Родительский и дочерний домен связаны между собой по VPN каналу.
Файрвол настроен с учетом статьи (http://support.microsoft.com/default.aspx?scid=kb;en-us;179442).
Пользователи из filial.org.local не могут получить доступ к ресурсам org.local
Подскажите хотя бы что проверить.. в инете ничего полезного не нашел под эту ситуацию.

А ping с филиала до родительского ДК идет? Если нет, то DNS проверьте. В настройках сетевого адаптера на дочернем ДК пропишите его как альтернативный DNS сервер.

да, пинг идет..

да, пинг идет.. »
по имени тоже?

Если отключить фаервол и попробовать проверить доверие. Что будет?

да, я пробовал пинговать конечно по имени
отключение фаервола не помогает..
что интересно - до недавнего времени все работало, правда, настраивал не я

хотел удалить трасты и создать заново - не получается

Как настроен ВПН? IPSec случайно не поднят?

IKE туннель на двух роутерах D-Link

Пользователи из filial.org.local не могут получить доступ к ресурсам org.local »
а с родительского в дочернем могут получить доступ к ресурсам?

Сейчас попробовал.
Появляется окно с запросом логина/пароля.
Если вводишь логин/пароль администратора родительского домена, доступа нет.
С учеткой из дочернего домена пускает.

Если отключить фаервол и попробовать проверить доверие. Что будет? »
Да, кстати, доверие проверяется и в родительском, и в дочернем домене успешно.

Да, кстати, доверие проверяется и в родительском, и в дочернем домене успешно. »
т.е. доверие стало работать нормально? Теперь просто нет доступа к ресурсам?

Извиняюсь, запутал вас.
Речь была о родительском домене.
В дочернем все также - "Проверьте что PDC-эмулятор и сеть работают нормально"

В дочернем все также - "Проверьте что PDC-эмулятор и сеть работают нормально" »
кто у Вас несет роль PDC-эмулятора?

кто у Вас несет роль PDC-эмулятора? »
контроллер домена dc1.org.local

контроллер домена dc1.org.local »
Это точно? Вы проверяли сейчас? Возможно, он потерял роль...
Дайте ipconfig /all и с родительского и с дочернего.

Вот с родительского:

Windows IP Configuration

Host Name . . . . . . . . . . . . : dc1
Primary Dns Suffix . . . . . . . : org.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : org.local

Ethernet adapter OB100:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/100 M Network Connection
Physical Address. . . . . . . . . : 00-02-B3-E9-E2-9D
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.2
Subnet Mask . . . . . . . . . . . : 255.255.254.0
Default Gateway . . . . . . . . . : 192.168.1.10
DNS Servers . . . . . . . . . . . : 192.168.1.2


А это - с дочернего:

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : main
Основной DNS-суффикс . . . . . . : filial.org.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : filial.org.local
org.local

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
NIC
Физический адрес. . . . . . . . . : 00-11-D8-FA-7D-E2
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.22.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.22.1
DNS-серверы . . . . . . . . . . . : 192.168.22.2
192.168.1.2

Попробуйте для начала выполнить netdiag /fix на контроллерах обоих доменов, и синхронизируйте зоны DNS.

netdiag /fix проблем не нашел, за исключением вот этого
[FATAL] Kerberos does not have a ticket
на родительском контроллере домена.

Но это, вроде бы, и не проблема а ошибка в netdiag'e
Взято отсюда: (http://support.microsoft.com/?kbid=870692)
Microsoft has confirmed that this is a problem in Netdiag.exe This problem occurs because Netdiag.exe searches only for the host/domain_name kind of Kerberos ticket. Netdiag.exe does not search for the computer_name$ kind of Kerberos ticket.
klist tickets тикеты находит.

Насчет синхронизации не совсем понятно - я думал они автоматически синхронизируются, поправьте пожалуйста если ошибаюсь

netdiag /fix проблем не нашел, за исключением вот этого
Код:
[FATAL] Kerberos does not have a ticket
на родительском контроллере домена »
А служба Kerberos Distribution Center запущена? Время нормально по домену синхронизируется?
я думал они автоматически синхронизируются »
Ну для начала поишите как у Вас DNS настроены в обоих доменах.

А служба Kerberos Distribution Center запущена? Время нормально по домену синхронизируется? »
да запущена, и время синхронизируется нормально ..
про DNS сейчас поищу

[FATAL] Kerberos does not have a ticket »
Так Вы при помощи Kerbtray.exe (http://www.microsoft.com/downloads/details.aspx?familyid=4E3A58BE-29F6-49F6-85BE-E866AF8E7A88&displaylang=en) проверьте имеет ли он билет?
про DNS сейчас поищу »
Что-то у меня с попаданиями по клавиатуре плохо совсем. Я имел ввиду ОПИШИТЕ конфигурацию DNS в обоих доменах :)