[решено] не создается доверие м\у лесами - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

- - [решено] не создается доверие м\у лесами (http://forum.oszone.net/showthread.php?t=291332)

не создается доверие м\у лесами

Добрый вечер, уважаемые! по крайней мене у меня на часах 21 час..
Есть два AD+DNS. два разных домена и леса. Они в одной локальной сети. Нужно их подружить, но оставить равноправными.
действуем так и так.
Что получается описывать пока не буду, потому, что не проходит nslookup нормально. Сначала они вообще друг друга не видели, создали зоны обратного и прямого просмотра друг на друга. На всякий случай внесли ip адреса в настройках сетевых карт DNS этих серверов друг к другу.
Получается то, что на картинке. Гугл затерли до дыр, но так и не поняли почему один из доменов не видит сам свое netbios имя, а второй ему не доверяет. Прошу помощь...
UPD. добавил еще картинки. доверие не создается до конца. один из доменов видит юзеров второго, второй не видит юзеров первого.

неужели нет ни у кого идей? кто-то из вас делал это и не раз. я просто делаю это впервые. Понимаю, что инфу не всю выдал, если что нужно для анализа предоставлю.

Setser,
Для начала покажите вывод команд ipconfig /all, nslookup <имя домена1> и nslookup <имя домена2> с КД из обоих доменов.

Setser,
глядя на замазанные IP адреса .ru домена уточняю - они серые? :)
или белые?

Telepuzik, Данным вопросом больше не было времени заниматься. Сегодня опять пытался, полный ноль (( вот запросы.

Первый домен:

Цитата:

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

C:\Users\alexandrovsv>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : DC
Основной DNS-суффикс . . . . . . : kgmu.ru
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : kgmu.ru

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Broadcom BCM5716C NetXtreme II GigE (клие
нт NDIS VBD Client)
Физический адрес. . . . . . . . . : 00-26-B9-87-40-C4
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.0.0.102(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.0.0.1
DNS-серверы. . . . . . . . . . . : 10.0.0.102
10.24.53.11
77.88.8.8
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{B0CC18CB-2241-4B4C-8CA1-4D057D099539}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

C:\Users\alexandrovsv>nslookup buh.local
╤хЁтхЁ: dc.kgmu.ru
Address: 10.0.0.102

Не заслуживающий доверия ответ:
╚ь*: buh.local
Address: 10.24.60.2

C:\Users\alexandrovsv>nslookup kgmu.ru
╤хЁтхЁ: dc.kgmu.ru
Address: 10.0.0.102

╚ь*: kgmu.ru
Addresses: 10.0.0.102
10.24.53.11

C:\Users\alexandrovsv>

Второй домен (на нем не видны пользователи первого)

Цитата:

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

C:\Users\alexandrovsv>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : BH-D2
Основной DNS-суффикс . . . . . . : buh.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : buh.local

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) PRO/1000 MT
Физический адрес. . . . . . . . . : 00-50-56-92-00-56
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.24.60.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.24.60.1
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{DA6B8527-80BB-42B8-A9AF-973040338B3C}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

C:\Users\alexandrovsv>nslookup kgmu.ru
╤хЁтхЁ: localhost
Address: 127.0.0.1

╚ь*: kgmu.ru
Address: 10.0.0.102

C:\Users\alexandrovsv>nslookup buh.local
╤хЁтхЁ: localhost
Address: 127.0.0.1

╚ь*: buh.local
Address: 10.24.60.2

C:\Users\alexandrovsv>

Цитата:

Цитата Setser

10.24.53.11 »

Кому принадлежит данный ip адрес? КД в другом сайте домена?

Цитата:

Цитата Setser

77.88.8.8 »

Этот ip адрес необходимо убрать.

Цитата:

Цитата Setser

IPv4-адрес. . . . . . . . . . . . : 10.24.60.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.24.60.1
NetBios через TCP/IP. . . . . . . . : Включен »

Нет ip адресов DNS сервера, видимо там указано 127.0.0.1, поменяйте на 10.24.60.2.

Цитата:

Цитата Telepuzik

Кому принадлежит данный ip адрес? КД в другом сайте домена? »

это второй КД в kgmu.ru

Цитата:

Цитата Telepuzik

Этот ip адрес необходимо убрать. »

понятия не имею, что это за IP. доменом kgmu.ru управляю не я. выясню завтра. но не думаю, что это повлияет на ситуацию.

Цитата:

Цитата Telepuzik

Нет ip адресов DNS сервера, видимо там указано 127.0.0.1, поменяйте на 10.24.60.2. »

там список DNS тупо пуст. до этого как раз стояло 10.24.60.2. Что так, что так ситуация не меняется. вену.

Есть еще на buh.local ошибка 4013 "DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до " Но он единственный КД в лесу на данный момент. и как я понял данная ошибка это норма для единственного КД.
так же есть вот это http://support.microsoft.com/kb/935834 , посмотрел - в обоих лесах эти рекомендации не выполнены, хотя в kgmu.ru данного предупреждения не возникает.
---------------------------------------
в домене kgmu.ru ошибка видимо во время создания доверия: код события 6525--
Запрос на перенос зоны buh.local отвергнут основным DNS-сервером на "10.24.60.2". Проверьте зону на основном сервере "10.24.60.2", чтобы убедиться, что перенос зоны включен для этого сервера. Для этого откройте DNS-консоль, выделите соответствующий основной сервер "10.24.60.2", затем просмотрите параметры на вкладке "Перенос зоны" диалогового окна "Свойства" дополнительной зоны buh.local. В зависимости от выбранных параметров, измените конфигурацию на этой вкладке (или на вкладке "Серверы имен") так, чтобы перенос зоны мог быть произведен данным сервером
------------------------------------------------------------------------
Вообще предыстория такая:
было два КД в домене buh на 2003 виндах. Один КД (в котором НЕ было ДНС) выведен из домена. Остался один КД на 2003 со всеми правами и ДНС. Создан 2008 введен в домен и поднят до КД и автоматически создано ДНС. 2008му переданы все права (схемы,хозяины..). ДНС перенесен с 2003 на 2008 с помощью доки до MS (копирование папки dns и т.д.). Далее 2003 выведен из домена.. Причем все операции делались с перерывами (что бы успели реплицироваться КД ), а так же с перезагрузками. Остался только 2008. У 2008 отличный от 2003 ip и имя. теперь пытаемся познакомить c kgmu. Вот боюсь, что ноги ростут отсюда от переноса ДНС.
------------------------------------------------------------------------------
сделал DCDIAG на BUH. показалась интересная картинка. до этого не было такого.

dcdiag buh

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

C:\Users\alexandrovsv>dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = BH-D2
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\BH-D2
Запуск проверки: Connectivity
......................... BH-D2 - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\BH-D2
Запуск проверки: Advertising
......................... BH-D2 - пройдена проверка Advertising
Запуск проверки: FrsEvent
......................... BH-D2 - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
......................... BH-D2 - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... BH-D2 - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
Возникло предупреждение. Код события (EventID): 0x80000B46
Время создания: 12/08/2014 19:44:47
Строка события:
Безопасность данного сервера каталогов можно существенно повысить, е
сли настроить его на отклонение привязок SASL (согласование, Kerberos, NTLM или
выборка), которые не запрашивают подписи (проверки целостности) и простых привя
зок LDAP, которые выполняются для подключения LDAP с открытым (не зашифрованным
SSL/TLS) текстом. Даже если никто из клиентов такие привязки не использует, на
стройка сервера на их отклонение улучшит безопасность этого сервера.
......................... BH-D2 - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... BH-D2 - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... BH-D2 - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=DomainDnsZones,DC=buh,DC=local
Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=ForestDnsZones,DC=buh,DC=local
......................... BH-D2 - не пройдена проверка NCSecDesc
Запуск проверки: NetLogons
[BH-D2] В учетных данных пользователя отсутствует разрешение на
выполнение данной операции.
Учетная запись, используемая для этой проверки, должна иметь права на
вход в сеть
для домена данного компьютера.
......................... BH-D2 - не пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... BH-D2 - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
[Проверка репликации,BH-D2] Сбой функции DsReplicaGetInfo(PENDING_OPS,
NULL), ошибка 0x2105 "Доступ к репликации отвергнут."
......................... BH-D2 - не пройдена проверка Replications
Запуск проверки: RidManager
......................... BH-D2 - пройдена проверка RidManager
Запуск проверки: Services
Не удалось открыть службу NTDS в BH-D2, ошибка 0x5
"Отказано в доступе."
......................... BH-D2 - не пройдена проверка Services
Запуск проверки: SystemLog
Возникло предупреждение. Код события (EventID): 0x8000001D
Время создания: 12/08/2014 19:44:42
Строка события:
Центр распространения ключей (KDC) не может найти подходящий сертифи
кат для использования при регистрации смарт-карт или KDC-сертификат не может быт
ь проверен. Регистрация смарт-карт не может работать правильно, если данная проб
лема не разрешена. Для исправления неполадки либо проверьте существующий сертифи
кат KDC при помощи certutil.exe, либо запросите новый KDC-сертификат.
Возникло предупреждение. Код события (EventID): 0x000003F6
Время создания: 12/08/2014 19:45:11
Строка события:
Разрешение имен для имени _ldap._tcp.Default-First-Site-Name._sites.
dc._msdcs.buh.local истекло после отсутствия ответа от настроенных серверов DNS.

Возникла ошибка. Код события (EventID): 0xC00038D6
Время создания: 12/08/2014 19:45:12
Строка события:
Службе пространства имен не удалось инициализировать сведения о дове
рительных отношениях между лесами на этом контроллере домена; она будет периодич
ески повторять выполнение операции. Код возврата находится в данных.
Возникла ошибка. Код события (EventID): 0x0000168E
Время создания: 12/08/2014 19:45:19
Строка события:
Ошибка при динамической регистрации записи DNS "buh.local. 600 IN A
10.24.60.2" на следующем DNS-сервере:
Возникло предупреждение. Код события (EventID): 0x000003F6
Время создания: 12/08/2014 19:45:19
Строка события:
Разрешение имен для имени buh.local истекло после отсутствия ответа
от настроенных серверов DNS.
Возникло предупреждение. Код события (EventID): 0x0000000C
Время создания: 12/08/2014 19:45:19
Строка события:
NTP-клиент поставщика времени: этот компьютер настроен на использова
ние доменной иерархии для определения своего источника времени, но при этом он я
вляется эмулятором основного контроллера домена Active Directory для домена в ко
рне леса, поэтому в доменной иерархии не существует компьютера, расположенного в
ыше, который можно использовать как источник времени. Рекомендуется настроить на
дежную службу времени в корневом домене или вручную настроить основной контролле
р домена Active Directory для синхронизации с внешним источником времени. В прот
ивном случае этот компьютер будет выступать в роли заслуживающего доверия источн
ика времени в доменной иерархии. Если внешний источник времени не настроен или н
е используется для этого компьютера, можно отключить NTP-клиент.
......................... BH-D2 - не пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... BH-D2 - пройдена проверка VerifyReferences

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: buh
Запуск проверки: CheckSDRefDom
......................... buh - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... buh - пройдена проверка CrossRefValidation

Выполнение проверок предприятия на: buh.local
Запуск проверки: LocatorCheck
......................... buh.local - пройдена проверка LocatorCheck
Запуск проверки: Intersite
......................... buh.local - пройдена проверка Intersite

C:\Users\alexandrovsv>

Цитата:

Цитата Setser

ДНС перенесен с 2003 на 2008 с помощью доки до MS (копирование папки dns и т.д.). »

О_о у вас был (есть?) DNS не интегрированный в АД?

cameron, я ничего не писал, что DNS был не интегрирован в AD. было 2003 AD+DNS, добавил 2008 AD+DNS. перенес права AD на 2008. Перенес DNS как тут http://technet.microsoft.com/ru-ru/l...(v=ws.10).aspx. Понизил 2003 и вывел из домена.

Цитата:

Цитата Setser

сделал DCDIAG на BUH. показалась интересная картинка. до этого не было такого. »

Я бы сделал так на КД в домене buh.local:
1. Прописал на КД ip адрес DNS сервера 10.24.60.2
2. Удалил все доверительные связи
3. Удалил все зоны в DNS которые не относятся к домену buh.local
4. Выполнил перезагрузку КД
5. Выполнил необходимые операции чтобы dcdiag на КД buh.local проходил без ошибок
6. Начал бы настраивать доверительные отношения между доменами.

Цитата:

Цитата Setser

я ничего не писал, что DNS был не интегрирован в AD. было 2003 AD+DNS, добавил 2008 AD+DNS. »

Покажите вывод команды dnscmd /enumzones с КД buh.local.

Telepuzik, Спасибо! попробую. Благо виртуалку клонировать перед этим не сложно ))

на buh.local

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

C:\Users\alexandrovsv>dnscmd /enumzones

Список перечисленных зон:
Счетчик зоны = 7

Имя зоны Тип Хранилище Свойства

. Cache AD-Domain
_msdcs.buh.local Primary AD-Forest Secure
144.168.192.in-addr.arpa Primary AD-Legacy Secure Rev
60.24.10.in-addr.arpa Primary AD-Forest Secure Rev
buh.local Primary AD-Domain Secure
kgmu.ru Primary AD-Domain Secure
TrustAnchors Primary AD-Forest

Команда успешно завершена.

C:\Users\alexandrovsv>

тут--144.168.192.in-addr.arpa-- все машины в домене buh. в будущем они будут тоже в 60.24.10.in-addr.arpa где сейчас только сервера.

при копипасте потерялась инфа. креплю скрин.

Telepuzik, не было времени отписаться. Проблему решил вашим путем. Достаточно много чего делал. Но похоже все решилось изменением параметра "динамическое обновление". в kgmu было небезопасное и безопасное. а у меня в buh только безопасное. после изменения параметра, если выполнять в kgmu команду nsloocup buh.local перестал писать "не заслуживающий доверия ответ" и все прошло удачно. странно..
Спасибо за помощь )