[решено] и снова про дружбу доменов - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)

- - [решено] и снова про дружбу доменов (http://forum.oszone.net/showthread.php?t=168590)

и снова про дружбу доменов

Продолжаю дружить домены...
Есть 2 КД: domain.local и sub.doman.local между ними родительско-дечерние отношения.
Связь через VPN pptp (стандартными средствами RRAS).
На каждом AD (является сервером глобального каталога), DNS, DHCP.
На головном DNS:
основная зона domain.local хранится в AD, реплицируестя на все DNS серверы в лесу domain.local
основная зона sub.doman.local хранится в AD, реплицируется на все DNS серверы домена domain.local
На дочернем DNS:
основная зона sub.doman.local хранится в AD, реплицируестя на все DNS серверы в лесу domain.local
основная зона domain.local хранится в AD, реплицируется на все контроллеры домена в домене sub.domain.local
На обоих включена пересылка зон для серверов из списка, в списке серверов, только те, которые нужны.

Вопрос сопсна, в том, что из дочернего домена к головному доступ к шарам есть, а наоборот из головного к дочернему - нет: просит логин/пассворд (для админа с win7) или "сетевой путь не найден" (для любого другого компа с XP).

подозреваю, что косяк именно с DNS, т.к. в сетевом окружении все компы отображаются. Пинги по ip идут, по полному имени компа (comp.sub.doman.local) тоже, а просто по comp - нет, хотя все имена уникальны.

направьте, куда копать

На проблемном клиенте, в свойствах TCP\IP на вкладке DNS попробуйте добавить "дописывать следующие DNS суффиксы по порядку" и добавьте туда оба ваших домена

а где бы это в DHCP прописать?

Через DHCP никак
Можно политикой, через startup скрипт
Скрипт здесь
http://support.microsoft.com/kb/275553

petru440
Групповая политика->Конфигурация компьютера->Административные шаблоны->Сеть->DNS клиент->Порядок просмотра суффиксов DNS

хм, с суффиксами всё хорошо, но с доступом к шарам ничего не изменилось...

группа "пользователи домена" головного является членом группы builtin\пользователи дочернего, и наоборот
моя учётка (в головном) входит в builtin\администраторы дочернего, и всё равно при подключении к \\comp\C$
просит логин/пароль

видимо куда-то что-то надо добавить еще... но куда и что ? вопрос

Цитата:

Цитата petru440

builtin\администраторы дочернего, и всё равно при подключении к \\comp\C$
просит логин/пароль »

Все правильно - разве builtin\администраторы дочернего находится в администраторах компьютера, к которому пытаетесь подключиться?

виноват! туплю! надо чтоб я любимый был в группе "администраторы домена", но как туда добавить мою учётку?

Цитата:

Цитата petru440

чтоб я любимый был в группе "администраторы домена", но как туда добавить мою учётку? »

Никак - эта группа по определению "глобальная" и быть ее членами могут только учетки из своего домена

ясна... а как тогда можно сею проблему решить?

Цитата:

Цитата petru440

ясна... а как тогда можно сею проблему решить? »

Какую проблему? Та что в начале топика, имхо решена.
Что вы в результате хотите получить?

с DNS-суффиксами вопрос решился, а если честно, то в добавок хотелось бы получить хотябы одну учётку с правами Бога всея домен.

П.С. Получается, что нужно каждому компу в субдомене в группу "Администраторы" прописать нужную учётку ручками. Может где в GP есть такой болт, который можно подкрутить?

Добавьте свою учетку в админы на компьютеры дочернего домена используя политику Restricted Groups
http://technet.microsoft.com/en-us/l...02(WS.10).aspx
http://support.microsoft.com/kb/279301