Доверительные отношения между доменами
Модератор: Модераторы
Сообщений: 4
• Страница 1 из 1
Есть два независимых домена на базе Windows Server 2003 (каждый в соем лесу). Между ними установлены внешние односторониие доверительные отношения (пользователи домена 1 могут подключаться к серверу домена 2). Причем могут подключаться только те пользователи, которые были уже созданы на момент установки доверительных отношений. Если создать в домене 1 нового пользователя USER_NEW, то он уже не может подключиться к домену 2 (требует имя и пароль). Если в домене 1 удалить какого нибудь старого пользователя USER_OLD, который мог подключаться к домену 2, а потом после входа под новым пользователем USER_NEW при подключении к домену 2 при запросе имени и пароля ввести имя и пароль удаленного пользователя USER_OLD то подключение к домену 2 выполняется, причем учетная запись пользователя USER_OLD в active directory домена 2 отсутствует. Такое ощущенеи, что при создании доверительных отношений контроллер домена 2 закешировал учетные записи из домена 1 и эти данные больше не изменяются, даже после перезагрузки серверов в обоих доменах.
Кто нибудь может разъяснить данную ситуацию?
Кто нибудь может разъяснить данную ситуацию?
- slz
- Активный пользователь
- Сообщения: 1229
- Зарегистрирован: 08 июл 2004, 06:17
- Откуда: Новосибирск
K-75
Проверь работоспособность трастов, в ADDT есть кнопка Validate.
Скорее всего нет физической связи между лесами, поэтому он и проводит аутентификацию из даных в кеше.
Если оба леса работают на функциональном уровне 2003, то лучше пользоваться не внешними трастами, а межлесовыми. Аутентификация будет не NTLM, а Kerberos и можно сделать прозрачный доступ - Single Sign-On
Проверь работоспособность трастов, в ADDT есть кнопка Validate.
Скорее всего нет физической связи между лесами, поэтому он и проводит аутентификацию из даных в кеше.
Если оба леса работают на функциональном уровне 2003, то лучше пользоваться не внешними трастами, а межлесовыми. Аутентификация будет не NTLM, а Kerberos и можно сделать прозрачный доступ - Single Sign-On
Проверил Validate - не работает. Скорее всего дело в DNS: отсутствуют записи о противоположных доменах - вот они и не могут определить контороллер для доверяемого (доверяющего) домена. Когда настраивал дов. отношения - создавал
доп зоны с именем другого домена, а потом удалил и вроде как работало, а оказывается не так как надо.
доп зоны с именем другого домена, а потом удалил и вроде как работало, а оказывается не так как надо.
- slz
- Активный пользователь
- Сообщения: 1229
- Зарегистрирован: 08 июл 2004, 06:17
- Откуда: Новосибирск
K-75
Обязательно создай вторичную (тут не забудь про разрешение пересылки) или stub зону для доверенных доменов.
Обязательно создай вторичную (тут не забудь про разрешение пересылки) или stub зону для доверенных доменов.
Сообщений: 4
• Страница 1 из 1
Вернуться в Сетевые операционные системы
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 23