Дано. Два домена в разных лесах. Оба работают в режиме Windows Server 2003.
Прописываю пересылку. Проверяю соответственно nslookup server.domain1, nslookup server.domain2 - все успешно.
Приступаю к непосредственной настройке доверительных отношений. На одном партнере настраивается успешно, а на втором - The local Security Autority is unable to obtain an RPC connection to domain controller server.domain1 Please check the name can be recolved and the server is available.
Захожу на server.domain1, проверяю Default Domain Controllers Policy - Access this computer from the network - everyone - в наличии. Однако по адресу \\имя_сервера доступа нет. равно как и по его IP. Говорит, что нет прав.
Возникает вопрос. Надо ли добиваться, чтобы доступ по адресу \\имя_сервера появился, или я не в ту сторону копаю?
А можно подробнее? Почему "внешнее"? Может, я уже начал чего-то забывать (последнее время, работаю с системами 2008).
Есть 4 типа доверия:
1. Внешнее - это доверие между разными структурами построения доменов Windows. Например NT4 и 2003 (2008). В первом случае, структура - просто домен, во втором - лес-дерево-домен.
2. Сфера - это доверие между системой не Windows (UNIX) и Windows. Но не Windows умеет работать с Kerberos.
3. Лес - это доверие корневых доменов двух лесов.
4. Междоменные - это доверие двух доменов, минуя доверие леса. Т.е. корневые домены двух лесов не доверят друг другу, а дочерние домены этих лесов доверяют.
Потом, существуют два отношения доверия:
1. Транзитивное - это если корневой домен одного леса доверяет корневому домену другого леса, то и дочерние домены одного леса доверяют дочерним доменам другого леса (как-бы наследование).
2. Нетранзитивное - корневые домены доверяют, а дочки нет.
И еще есть направленность: одностороннее и двустороннее (пояснять не требуется?).
Теперь объясни, какое доверие и как (желательно по шагам) ты делаешь?
Доверие делается внешнее(External), потому что домены состоят в разных лесах. Ничего другого в этом случае Microsoft предложить не может.
По шагам.
1) В каждом их доменов открываю остнастку DNS, правой кнопкой на сервере DNS, свойства. На вкладке Forwarders жму кнопку New, создаю новую запись и ввожу ip-адреса серверов, которым надо перенаправлять запросы.
2) В остнастке Домены и доверие правой кноопочкой на имени домена - свойства, перехожу на вкладку Доверие(Trusts), жму New Trust, открывается мастер. В мастере ввожу имя домена, с которым хочу установить доверительные отношения. Так вот в одном домене спокойненько перехожу к следующему шагу - тип доверия, а во втором вылетаю с ошибкой об отсутствии доступа.
Попробуй, посмотри "открытость" портов на обоих серверах http://www.windowsfaq.ru/content/view/451/82/
Открытость какого порта надо проверять?
Вообще-то я и при помощи netstat посмотреть могу открытые порты.
Фу-у, получилось. Но почему-то с другого контроллера.
Самое смешное, что все необходимые порты были открыты. Ведь это не тестовые системы, а работающие домены с сотнями пользователей в каждом. В общем, не знаю, чего глюкнуло, но сейчас нормально работает.
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)