Архив

Posts Tagged ‘netbios’

Доверительные отношения, mystery?!

9 октября, 2012 2 комментария

 Недавно абсолютно случайным образом в процессе настройки доверительных отношений, столкнулся с проблемой, которая практически не обсуждается в Рунете.

 Итак, для возможности аутентификации пользователей одного домена на контроллерах других доменов создаются доверительные отношения. Существует несколько типов доверительных отношений, о которых можно прочитать на Technet.

При создании доверительных отношений различных типов предъявляются требования к  DNS и NetBIOS разрешению имен.

Существуют следующие ограничения по именованию:

1. При создании Forest Trust в New Trust wizard удаленный домен указан с помощью NetBIOS имени.

2. NetBIOS имена доменов одинаковы.

3. DNS имена доменов одинаковы.

4. SID доменов одинаковые.

Возможно есть и другие ограничения DNS и NetBIOS, о которых я забыл упомянуть. (P.S. Если такие есть, сообщите пожалуйста — буду очень признателен.)

Что касается именования контроллеров доменов, то FQDN будут разные в любом случае, а вот NetBIOS имена могут быть и одинаковые, проверим как это работает…

Ок, схема тестового стенда представлена ниже:

Два леса. В каждом лесу по одному домену domain1.local и domain2.local. NetBIOS имена доменов domain1 и domain2. FQDN контроллеров dc.domain1.local и dc.domain2.local. Уровни лесов и доменов одинаковы — Windows 2008R2.

Попробуем настроить доверительные отношения между лесами(Forest Trust).

Первым шагом для разрешения имен между лесами. Способов несколько:

1. Условная пересылка

2. Зона заглушка

3. Вторичная зона

Проверять разрешение имен удобно с помощью утилиты nslookup.

 Шаги создания доверительных отношений с помощью New Trust wizard описаны на странице Create a forest trust

В процессе создания Forest trust удаленный домен необходимо указывать с помощью DNS имени.

Результат создания доверительных отношений (Forest Trust) отображен ниже:

Далее я посмотрел будут ли работать доверительные отношения в следующих сценариях:

-Два контроллера находятся в разных подсетях и разделены маршрутизатором

-В свойствах сетевых адаптерах на контроллерах доменов отключен  NetBIOS over TCP/IP

Результаты были идентичными.

С помощью сетевого монитора не удалось понять источник проблемы.

В результате  решений проблемы, как я вижу несколько:

1. Переименование контроллера домена. Если на контроллере работают другие сервисы, например центр сертификации или сервер Exchange в этом случае переименовать контроллер не удастся.

2. Установить второй контроллер домена. Более надежный, но требует дополнительных ресурсов.

Если кто-то дочитал эту статью до конца и у него есть мысли буду рад на эту тему пообщаться, спасибо!

Рубрики:ActiveDirectory Метки: , ,