нет доступа к одному домену из другого - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

- - нет доступа к одному домену из другого (http://forum.oszone.net/showthread.php?t=183129)

нет доступа к одному домену из другого

Проблема такова: Есть лес, в головном домене (А) есть КД под управлением 2003R2, к нему добавил дополнительный КД на 2008R2, после чего у меня пропали доверительные отношения с двумя другими доменами на 2003R2.
Есть еще один домен (все в одном лесу) под управлением 2008R2, там с довериями всё хорошо.
Доверия восстановил все с помощью "анализатора соответствия рекомендациям". Все доверия работают и активны.
Один домен (на 2003) заработал нормально т.е. есть доступ к RDP, Exchange, и т.д.
А вот другой домен (Б) (тоже под 2003) не хочет... т.е. при подключении через RDP на сервак домена А учёткой домена Б пишет, мол проверь правильность логина, пароля или домена... Следовательно ни exchange ни доступ к шарам не работают, но только в одном направлении. Из домена А в Б всё ходит нормально. Пинги по именам работают т.е. DNS в норме, в логах нигде ничего интересного по теме...

мож кто спотыкался? направьте :)

Покажите результат выполнения команды
nltest /domain_trusts
из домена А и Б

C:\Users\admin>nltest /domain_trusts
Список доверий домена:
0: Д д.local (NT 5) (Forest Tree Root) (Direct Outbound) (Direct Inbound) ( Attr: 0x20 )
1: В в.local (NT 5) (Forest Tree Root) (Direct Outbound) (Direct Inbound) ( Attr: 0x20 )
2: Б б.local (NT 5) (Forest Tree Root) (Direct Outbound) (Direct Inbound) ( Attr: 0x20 )
3: А а.local (NT 5) (Forest Tree Root) (Primary Domain) (Native)

А из домена Б?

C:\Support Tools>nltest /domain_trusts
List of domain trusts:
0: А а.local (NT 5) (Forest Tree Root) (Direct Outbound) (Direct Inbound) ( Attr: 0x20 )
1: Д д.local (NT 5) (Forest Tree Root) (Direct Outbound) (Direct Inbound) ( Attr: 0x20 )
2: В в.local (NT 5) (Forest Tree Root) (Direct Outbound) (Direct Inbound) ( Attr: 0x20 )
3: Б б.local (NT 5) (Forest Tree Root) (Primary Domain) (Native)

The command completed successfully

Повторюсь: все доверия "работоспособны и активны" - проверял в оснастке АД "домены и доверия"

В Журнале "Система" КД Домена Б есть такое:

Тип события: Предупреждение
Источник события: LSASRV
Категория события: SPNEGO (согласователь)
Код события: 40960
Дата: 17.08.2010
Время: 11:03:12
Пользователь: Н/Д
Компьютер: server02
Описание:
Система безопасности обнаружила ошибку проверки подлинности сервера ldap/server01.a.local/a.local@a.LOCAL. Полученный от протокола проверки подлинности Kerberos код ошибки: "Неудачная попытка входа в систему. Указано неверное имя пользователя или другие неверные личные данные.
(0xc000006d)".

Остальные журналы без ошибок и предупреждений.

Итак, доверия работают в обе стороны. Проведя комплекс диагностических мер, выявил, что отсутствует репликация от домена Б к домену А (наоборот работает).
Не удаётся поднять LDAP к серваку т.к. отказано в доступе.
В домене Б поднял доп. КД на 2008 R2.
Там в журнале "службы каталогов" :

Цитата:

Имя журнала: Directory Service
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 19.08.2010 12:40:11
Код события: 1925
Категория задачи:Проверка согласованности знаний
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: АНОНИМНЫЙ ВХОД
Компьютер: КД02.Б.local
Описание:
Попытка установки связи репликации для следующего раздела каталога, доступного для изменения, завершилась ошибкой.

Раздел каталога:
CN=Configuration,DC=А,DC=local
Исходный сервер каталогов:
CN=NTDS Settings,CN=КД01,CN=Servers,CN=local,CN=Sites,CN=Configuration,DC=А,DC=local
Адрес исходного сервера каталогов:
34002b87-9c1c-4eae-be20-10239983aa69._msdcs.А.local
Межсайтовый транспорт (если существует):

До устранения этой ошибки выполнение репликации между данным и исходным серверами службы каталогов будет невозможно.

Действие пользователя
Проверьте доступность исходного сервера службы каталогов и работоспособность сетевого подключения.

Дополнительные данные
Значение ошибки:
5 Отказано в доступе.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS KCC" />
<EventID Qualifiers="32768">1925</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>1</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2010-08-19T08:40:11.118596900Z" />
<EventRecordID>2256</EventRecordID>
<Correlation />
<Execution ProcessID="496" ThreadID="1208" />
<Channel>Directory Service</Channel>
<Computer>КД02.Б.local</Computer>
<Security UserID="S-1-5-7" />
</System>
<EventData>
<Data>CN=Configuration,DC=А,DC=local</Data>
<Data>34002b87-9c1c-4eae-be20-10239983aa69._msdcs.А.local</Data>
<Data>Отказано в доступе.</Data>
<Data>CN=NTDS Settings,CN=КД01,CN=Servers,CN=local,CN=Sites,CN=Configuration,DC=А,DC=local</Data>
<Data>
</Data>
<Data>5</Data>
</EventData>
</Event>

dcdiag говорит так:

Цитата:

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = КД02
* Идентифицирован лес AD.
[КД01] Сбой привязки LDAP с ошибкой 1326,
Вход в систему не произведен: имя пользователя или пароль не опознаны..
Получена ошибка при проверке использования контроллером домена FRS или DFSR.
Ошибка.
Вход в систему не произведен: имя пользователя или пароль не опознаны.Из-за
этой ошибки могли не быть выполнены проверки VerifyReferences, FrsEvent и
DfsrEvent.

как чинить?