Доверительные отношения, mystery?!
Недавно абсолютно случайным образом в процессе настройки доверительных отношений, столкнулся с проблемой, которая практически не обсуждается в Рунете.
Итак, для возможности аутентификации пользователей одного домена на контроллерах других доменов создаются доверительные отношения. Существует несколько типов доверительных отношений, о которых можно прочитать на Technet.
При создании доверительных отношений различных типов предъявляются требования к DNS и NetBIOS разрешению имен.
Существуют следующие ограничения по именованию:
1. При создании Forest Trust в New Trust wizard удаленный домен указан с помощью NetBIOS имени.
2. NetBIOS имена доменов одинаковы.
3. DNS имена доменов одинаковы.
4. SID доменов одинаковые.
Возможно есть и другие ограничения DNS и NetBIOS, о которых я забыл упомянуть. (P.S. Если такие есть, сообщите пожалуйста — буду очень признателен.)
Что касается именования контроллеров доменов, то FQDN будут разные в любом случае, а вот NetBIOS имена могут быть и одинаковые, проверим как это работает…
Ок, схема тестового стенда представлена ниже:
Два леса. В каждом лесу по одному домену domain1.local и domain2.local. NetBIOS имена доменов domain1 и domain2. FQDN контроллеров dc.domain1.local и dc.domain2.local. Уровни лесов и доменов одинаковы — Windows 2008R2.
Попробуем настроить доверительные отношения между лесами(Forest Trust).
Первым шагом для разрешения имен между лесами. Способов несколько:
1. Условная пересылка
2. Зона заглушка
3. Вторичная зона
Проверять разрешение имен удобно с помощью утилиты nslookup.
Шаги создания доверительных отношений с помощью New Trust wizard описаны на странице Create a forest trust
В процессе создания Forest trust удаленный домен необходимо указывать с помощью DNS имени.
Результат создания доверительных отношений (Forest Trust) отображен ниже:
Далее я посмотрел будут ли работать доверительные отношения в следующих сценариях:
-Два контроллера находятся в разных подсетях и разделены маршрутизатором
-В свойствах сетевых адаптерах на контроллерах доменов отключен NetBIOS over TCP/IP
Результаты были идентичными.
С помощью сетевого монитора не удалось понять источник проблемы.
В результате решений проблемы, как я вижу несколько:
1. Переименование контроллера домена. Если на контроллере работают другие сервисы, например центр сертификации или сервер Exchange в этом случае переименовать контроллер не удастся.
2. Установить второй контроллер домена. Более надежный, но требует дополнительных ресурсов.
Если кто-то дочитал эту статью до конца и у него есть мысли буду рад на эту тему пообщаться, спасибо!