Как настроить доверительные отношения между двумя windows 2003?
 

Всем доброго времени суток.
Имеем два контроллера домена на windows 2003.
- Первый контоллер главный на фирме с помощью него все логинятся на рабочие станции.
- Второй контроллера домена находится на прокси сервере, и нужен только для того, чтобы раздавать интернет. Было сделано два домена для безопасности. На нем настроен NAT + ISA 2004.

Необходимо настроить доверительные отношения так, что бы когда на рабочей станции прописываешь ip адрес прокси сервера он бы не выдавал сообщение о том, что надо ввести имя пользователя и пароль из прокси домена. Вобщем надо чтобы у первого контроллер домена в AD каждый пользователь был сопоставлен с пользователем из AD второго (прокси) домена.

Понятно, что для этого надо настроить доверительные отношения между двумя контроллерами домена.
В Администрирование - Active Directory домены и доверие. Надо это сделать, но в этой оснастке ни первый домен не видит второго, ни второй домен не видит первый. Оба находятся в одной подсети, оба пингуют друг друга.

Так как быть тогда ? если они друг друга не видят ?

Не видит как? В остнастке Active Directory домены и доверие в свойствах домена на закладке "Доверия" нажимаете "Создать доверие" ввводите имя контролера другого домена и что Вам выдает?

Пробовал уже так нажимал "Создать доверие" и там вводил имя домена которому надо доверять пробовал два варианта
<имя машины>.<domain>.ru
<domain>.ru
в обоих случаях выдавал сообщение
--------------------------------------------------------------------------------
Тип доверия
Указананное имя не является допустимым именем домена Windows.

Выберите соответствующий тип отношений доверия:
- Отношения доверия со сферой (Kerberos5)

-Отношения доверия с доменом Windows
--------------------------------------------------------------------------------
Выбирал 2. Далее вылезало окно, что не возможно продолжить, посколько невозможно обратиться к указанному домену.

Как это понять ?



делал по этой статье
http://www.oszone.net/display.php?id=1400

прописал дополнительные прямые зоны друг друга на двух контроллерах, появились в доверии домены, но при проверке выдает ошибку, что не возможно найти контроллер домена.
Хотя они находятся в одной под сети и пингуют друг друга.


Вот ipconfig /all и nslookup обоих серверов

Первого

C:\Documents and Settings\Администратор.TKS>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : main
Основной DNS-суффикс . . . . . . : one.ru
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : one.ru

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . : one.ru
Описание . . . . . . . . . . . . : NVIDIA nForce
Физический адрес. . . . . . . . . : 00-1F-D0-5C-4
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.2.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.2.35
DNS-серверы . . . . . . . . . . . : 192.168.2.2
192.168.1.1
62.165.32.250
87.241.192.2

C:\Documents and Settings\Администратор.TKS>nslookup
Default Server: main.one.ru
Address: 192.168.2.2

> two.local
Server: main.one.ru
Address: 192.168.2.2

Name: two.local
Addresses: 192.168.2.52, 192.168.2.35, 192.168.1.4, <наш внешний ip адрес>

>

------------------------------------------------------------------------------------------------------------

Второго

C:\Documents and Settings\Администратор>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : proxy
Основной DNS-суффикс . . . . . . : two.local
Тип узла. . . . . . . . . . . . . : широковещательн
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да
Порядок просмотра суффиксов DNS . : two.local

Lokal - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8169
net NIC
Физический адрес. . . . . . . . . : 00-1A-4D-3E-9A-
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.2.35
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

Хост Инета - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : IBM 10/100 Ethe
Физический адрес. . . . . . . . . : 00-60-94-A5-4E-
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : <наш внешний ip адрес>
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . : <наш внешний основной шлюз ip адрес>
DNS-серверы . . . . . . . . . . . : 87.241.223.68
81.17.2.171
62.165.32.250
192.168.1.1

C:\Documents and Settings\Администратор>nslookup
Default Server: ns1.enforta.com
Address: <внешний ip адрес начинается на 87.>

> one.ru
Server: ns1.enforta.com
Address: <внешний ip адрес начинается на 87.>

Name: one.ru
Address: <какой то внешний ip адрес начинается на 77.>

>

Вот этот последний nslookup меня смущает т.е. он не выдает днс который на самом сервере а переадресовывает на днс сервер провайдера. Да и на nslookup one.ru выдает днс сервер провайдера и имя первого домено, но с другим ip адресом. Как это понять ?
Может быть тут и вся проблема ?

2 monkkey
Поднимал не я всю это шарагу мне в наследство досталось, а как надо было ? сделать в данном случае с прокси просто поднять Windows Server без контроллера домена ?


Если по ситуации то как быть ?

P.S. Да с русским у меня всегда плохо было, но тут же не форум русского языка =)).

Night-Elf,
Почему у домена two.local стока адресов прописано в DNS, в домене two.local сколько контроллеров домена?
На ISA в DNS сервере прописываем пересылку запросов для домена one.ru на сервер 192.168.2.2
Не вводить ISA сервер в домен, в сети поднимать IAS сервер и настраивать RADIUS аутентификацию.

Не стоит увеличивать. ISA сервер нормально работает в "родном" домене. Вот отдельный домен для него - это нечто.

2 monkkey
А как же быть с безопасностью если ломают прокси то открываеться сразу весь домен, а так получаеться доступен только 2 домен прокси в котором по сути не чего и нет ?

Никто и не говорил что он там не нормально работает, для усиления безопасности можно не вводить в домен.
Night-Elf,
Вы на мои вопросы так и не ответили.

Вы где таких баек наслушались? Что значит "ломают"?

2 Telepuzik
контроллеров домена один единственный на прокси сервере.
А почему в ДНС прописано вот это мне тоже интересно ?

2 monkkey
Да бывшие сис админу тут рассказил )))) т.е. не чего страшного если будет не будет 2 домена один специально для прокси ? )

А вобще я все обратно возвратил удалил дополнительные зоны с обоих днс и настройки вернул обратно понял, что это полная ерунда делать доверительные отношения между двумя доменами конкретно для авторизации на прокси. БУду лучше доделывать прокси на FreeBSD к тому же он у меня почти готов.

Только вот в чем проблема после возврата страницы в интернете стали через раз открываться т.е. как будто какое то время открываеться все прекрасно, а какое то время не хочет не одну страницу грузиться, что это может быть ?