Просмотр темы - Доверительные отношения между доменами

[K-75 Профиль]

Есть два независимых домена на базе Windows Server 2003 (каждый в соем лесу). Между ними установлены внешние односторониие доверительные отношения (пользователи домена 1 могут подключаться к серверу домена 2). Причем могут подключаться только те пользователи, которые были уже созданы на момент установки доверительных отношений. Если создать в домене 1 нового пользователя USER_NEW, то он уже не может подключиться к домену 2 (требует имя и пароль). Если в домене 1 удалить какого нибудь старого пользователя USER_OLD, который мог подключаться к домену 2, а потом после входа под новым пользователем USER_NEW при подключении к домену 2 при запросе имени и пароля ввести имя и пароль удаленного пользователя USER_OLD то подключение к домену 2 выполняется, причем учетная запись пользователя USER_OLD в active directory домена 2 отсутствует. Такое ощущенеи, что при создании доверительных отношений контроллер домена 2 закешировал учетные записи из домена 1 и эти данные больше не изменяются, даже после перезагрузки серверов в обоих доменах.
Кто нибудь может разъяснить данную ситуацию?

[slz Профиль]

K-75
Проверь работоспособность трастов, в ADDT есть кнопка Validate.
Скорее всего нет физической связи между лесами, поэтому он и проводит аутентификацию из даных в кеше.
Если оба леса работают на функциональном уровне 2003, то лучше пользоваться не внешними трастами, а межлесовыми. Аутентификация будет не NTLM, а Kerberos и можно сделать прозрачный доступ - Single Sign-On

[K-75 Профиль]

Проверил Validate - не работает. Скорее всего дело в DNS: отсутствуют записи о противоположных доменах - вот они и не могут определить контороллер для доверяемого (доверяющего) домена. Когда настраивал дов. отношения - создавал
доп зоны с именем другого домена, а потом удалил и вроде как работало, а оказывается не так как надо.

[slz Профиль]

K-75
Обязательно создай вторичную (тут не забудь про разрешение пересылки) или stub зону для доверенных доменов.