Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   нет доверия от дочернего домена к родительскому (http://forum.oszone.net/showthread.php?t=126733)

Hakku 22-12-2008 19:12 987373
нет доверия от дочернего домена к родительскому
 
У меня есть родительский домен org.local и дочерний домен filial.org.local
И вот почему-то дочерний домен перестал доверять родительскому..
Запускаю на DC дочернего домена апплет "Домены и доверие", пытаюсь посмотреть свойства родительского домена -
получаю сообщение "Изменить сведения о доменах и доверии не удалось, поскольку не удалось связаться со следующим PDC-эмулятором: dc1.org.local. Проверьте что PDC-эмулятор и сеть работают нормально"
При выполнении аналогичной операции на DC родительского домена никаких проблем нет.
Родительский и дочерний домен связаны между собой по VPN каналу.
Файрвол настроен с учетом статьи.
Пользователи из filial.org.local не могут получить доступ к ресурсам org.local
Подскажите хотя бы что проверить.. в инете ничего полезного не нашел под эту ситуацию.

Grub 23-12-2008 09:00 987809
А ping с филиала до родительского ДК идет? Если нет, то DNS проверьте. В настройках сетевого адаптера на дочернем ДК пропишите его как альтернативный DNS сервер.

Hakku 23-12-2008 11:12 987905
да, пинг идет..

Grub 23-12-2008 11:29 987923
Цитата:
Цитата Hakku
да, пинг идет.. »
по имени тоже?

Если отключить фаервол и попробовать проверить доверие. Что будет?

Hakku 23-12-2008 12:50 987988
да, я пробовал пинговать конечно по имени
отключение фаервола не помогает..
что интересно - до недавнего времени все работало, правда, настраивал не я

хотел удалить трасты и создать заново - не получается

Grub 23-12-2008 13:31 988025
Как настроен ВПН? IPSec случайно не поднят?

Hakku 23-12-2008 15:06 988100
IKE туннель на двух роутерах D-Link

Grub 23-12-2008 15:42 988123
Цитата:
Цитата Hakku
Пользователи из filial.org.local не могут получить доступ к ресурсам org.local »
а с родительского в дочернем могут получить доступ к ресурсам?

Hakku 23-12-2008 17:03 988202
Сейчас попробовал.
Появляется окно с запросом логина/пароля.
Если вводишь логин/пароль администратора родительского домена, доступа нет.
С учеткой из дочернего домена пускает.

Цитата:
Цитата Grub
Если отключить фаервол и попробовать проверить доверие. Что будет? »
Да, кстати, доверие проверяется и в родительском, и в дочернем домене успешно.

Grub 23-12-2008 18:50 988281
Цитата:
Цитата Hakku
Да, кстати, доверие проверяется и в родительском, и в дочернем домене успешно. »
т.е. доверие стало работать нормально? Теперь просто нет доступа к ресурсам?

Hakku 23-12-2008 19:13 988296
Извиняюсь, запутал вас.
Речь была о родительском домене.
В дочернем все также - "Проверьте что PDC-эмулятор и сеть работают нормально"

Grub 24-12-2008 09:33 988732
Цитата:
Цитата Hakku
В дочернем все также - "Проверьте что PDC-эмулятор и сеть работают нормально" »
кто у Вас несет роль PDC-эмулятора?

Hakku 24-12-2008 12:31 988893
Цитата:
Цитата Grub
кто у Вас несет роль PDC-эмулятора? »
контроллер домена dc1.org.local

Grub 24-12-2008 13:09 988930
Цитата:
Цитата Hakku
контроллер домена dc1.org.local »
Это точно? Вы проверяли сейчас? Возможно, он потерял роль...
Дайте ipconfig /all и с родительского и с дочернего.

Hakku 24-12-2008 13:19 988937
Вот с родительского:
Код:
Windows IP Configuration

  Host Name . . . . . . . . . . . . : dc1
  Primary Dns Suffix  . . . . . . . : org.local
  Node Type . . . . . . . . . . . . : Hybrid
  IP Routing Enabled. . . . . . . . : No
  WINS Proxy Enabled. . . . . . . . : No
  DNS Suffix Search List. . . . . . : org.local

Ethernet adapter OB100:

  Connection-specific DNS Suffix  . :
  Description . . . . . . . . . . . : Intel(R) PRO/100 M Network Connection
  Physical Address. . . . . . . . . : 00-02-B3-E9-E2-9D
  DHCP Enabled. . . . . . . . . . . : No
  IP Address. . . . . . . . . . . . : 192.168.1.2
  Subnet Mask . . . . . . . . . . . : 255.255.254.0
  Default Gateway . . . . . . . . . : 192.168.1.10
  DNS Servers . . . . . . . . . . . : 192.168.1.2
А это - с дочернего:

Код:
Настройка протокола IP для Windows

  Имя компьютера  . . . . . . . . . : main
  Основной DNS-суффикс  . . . . . . : filial.org.local
  Тип узла. . . . . . . . . . . . . : неизвестный
  IP-маршрутизация включена . . . . : да
  WINS-прокси включен . . . . . . . : нет
  Порядок просмотра суффиксов DNS . : filial.org.local
                                      org.local

Подключение по локальной сети - Ethernet адаптер:

  DNS-суффикс этого подключения . . :
  Описание  . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
NIC
  Физический адрес. . . . . . . . . : 00-11-D8-FA-7D-E2
  DHCP включен. . . . . . . . . . . : нет
  IP-адрес  . . . . . . . . . . . . : 192.168.22.2
  Маска подсети . . . . . . . . . . : 255.255.255.0
  Основной шлюз . . . . . . . . . . : 192.168.22.1
  DNS-серверы . . . . . . . . . . . : 192.168.22.2
                                      192.168.1.2

Oleg Krylov 24-12-2008 13:57 988972
Попробуйте для начала выполнить netdiag /fix на контроллерах обоих доменов, и синхронизируйте зоны DNS.

Hakku 24-12-2008 16:08 989108
netdiag /fix проблем не нашел, за исключением вот этого
Код:
[FATAL] Kerberos does not have a ticket
на родительском контроллере домена.

Но это, вроде бы, и не проблема а ошибка в netdiag'e
Взято отсюда:
Цитата:
Microsoft has confirmed that this is a problem in Netdiag.exe This problem occurs because Netdiag.exe searches only for the host/domain_name kind of Kerberos ticket. Netdiag.exe does not search for the computer_name$ kind of Kerberos ticket.
klist tickets тикеты находит.

Насчет синхронизации не совсем понятно - я думал они автоматически синхронизируются, поправьте пожалуйста если ошибаюсь

Oleg Krylov 24-12-2008 16:12 989115
Цитата:
Цитата Hakku
netdiag /fix проблем не нашел, за исключением вот этого
Код:
[FATAL] Kerberos does not have a ticket
на родительском контроллере домена »
А служба Kerberos Distribution Center запущена? Время нормально по домену синхронизируется?
Цитата:
Цитата Hakku
я думал они автоматически синхронизируются »
Ну для начала поишите как у Вас DNS настроены в обоих доменах.

Hakku 24-12-2008 16:22 989130
Цитата:
Цитата Oleg Krylov
А служба Kerberos Distribution Center запущена? Время нормально по домену синхронизируется? »
да запущена, и время синхронизируется нормально ..
про DNS сейчас поищу

Oleg Krylov 24-12-2008 16:42 989154
Цитата:
Цитата Hakku
[FATAL] Kerberos does not have a ticket »
Так Вы при помощи Kerbtray.exe проверьте имеет ли он билет?
Цитата:
Цитата Hakku
про DNS сейчас поищу »
Что-то у меня с попаданиями по клавиатуре плохо совсем. Я имел ввиду ОПИШИТЕ конфигурацию DNS в обоих доменах :)

Hakku 26-12-2008 14:21 990772
Я тут выпал из сети на день (
В общем,
Цитата:
Цитата Oleg Krylov
Так Вы при помощи Kerbtray.exe проверьте имеет ли он билет? »
билет есть
Цитата:
Цитата Oleg Krylov
Я имел ввиду ОПИШИТЕ конфигурацию DNS в обоих доменах »
а что именно написать? там же много всего

Oleg Krylov 28-12-2008 02:32 991978
Цитата:
Цитата Hakku
а что именно написать? там же много всего »
Меня интересует как контроллеры видят "домен напротив". Настроена ли вторичная зона, либо используется форвардинг на Primary DNS server соответствующего домена


Время: 09:12.

Время: 09:12.
© OSzone.net 2001-