PDA

Показать полную графическую версию : [решено] и снова про дружбу доменов


petru440
26-02-2010, 13:05
Продолжаю дружить домены...
Есть 2 КД: domain.local и sub.doman.local между ними родительско-дечерние отношения.
Связь через VPN pptp (стандартными средствами RRAS).
На каждом AD (является сервером глобального каталога), DNS, DHCP.
На головном DNS:
основная зона domain.local хранится в AD, реплицируестя на все DNS серверы в лесу domain.local
основная зона sub.doman.local хранится в AD, реплицируется на все DNS серверы домена domain.local
На дочернем DNS:
основная зона sub.doman.local хранится в AD, реплицируестя на все DNS серверы в лесу domain.local
основная зона domain.local хранится в AD, реплицируется на все контроллеры домена в домене sub.domain.local
На обоих включена пересылка зон для серверов из списка, в списке серверов, только те, которые нужны.


Вопрос сопсна, в том, что из дочернего домена к головному доступ к шарам есть, а наоборот из головного к дочернему - нет: просит логин/пассворд (для админа с win7) или "сетевой путь не найден" (для любого другого компа с XP).

подозреваю, что косяк именно с DNS, т.к. в сетевом окружении все компы отображаются. Пинги по ip идут, по полному имени компа (comp.sub.doman.local) тоже, а просто по comp - нет, хотя все имена уникальны.

направьте, куда копать

Ivan Bardeen
26-02-2010, 13:15
На проблемном клиенте, в свойствах TCP\IP на вкладке DNS попробуйте добавить "дописывать следующие DNS суффиксы по порядку" и добавьте туда оба ваших домена

petru440
26-02-2010, 13:39
а где бы это в DHCP прописать?

Ivan Bardeen
26-02-2010, 13:58
Через DHCP никак
Можно политикой, через startup скрипт
Скрипт здесь
http://support.microsoft.com/kb/275553

Telepuzik
26-02-2010, 14:21
petru440
Групповая политика->Конфигурация компьютера->Административные шаблоны->Сеть->DNS клиент->Порядок просмотра суффиксов DNS

petru440
26-02-2010, 15:07
хм, с суффиксами всё хорошо, но с доступом к шарам ничего не изменилось...

группа "пользователи домена" головного является членом группы builtin\пользователи дочернего, и наоборот
моя учётка (в головном) входит в builtin\администраторы дочернего, и всё равно при подключении к \\comp\C$
просит логин/пароль

видимо куда-то что-то надо добавить еще... но куда и что ? вопрос

Ivan Bardeen
26-02-2010, 15:25
builtin\администраторы дочернего, и всё равно при подключении к \\comp\C$
просит логин/пароль »
Все правильно - разве builtin\администраторы дочернего находится в администраторах компьютера, к которому пытаетесь подключиться?

petru440
26-02-2010, 15:34
виноват! туплю! надо чтоб я любимый был в группе "администраторы домена", но как туда добавить мою учётку?

Ivan Bardeen
26-02-2010, 15:41
чтоб я любимый был в группе "администраторы домена", но как туда добавить мою учётку? »
Никак - эта группа по определению "глобальная" и быть ее членами могут только учетки из своего домена

petru440
26-02-2010, 15:55
ясна... а как тогда можно сею проблему решить?

Ivan Bardeen
26-02-2010, 15:59
ясна... а как тогда можно сею проблему решить? »
Какую проблему? Та что в начале топика, имхо решена.
Что вы в результате хотите получить?

petru440
26-02-2010, 16:08
с DNS-суффиксами вопрос решился, а если честно, то в добавок хотелось бы получить хотябы одну учётку с правами Бога всея домен.

П.С. Получается, что нужно каждому компу в субдомене в группу "Администраторы" прописать нужную учётку ручками. Может где в GP есть такой болт, который можно подкрутить?

Ivan Bardeen
26-02-2010, 16:11
Добавьте свою учетку в админы на компьютеры дочернего домена используя политику Restricted Groups
http://technet.microsoft.com/en-us/library/cc756802(WS.10).aspx
http://support.microsoft.com/kb/279301




© OSzone.net 2001-2012