Trabalhando em um problema com a configuração de uma confiança entre dois domínios com vários firewalls intermediários e um roteamento pinhole entre dois servidores.
newdc.newdomain.com é um servidor de 2012 em um novo domínio.
admt.olddomain.local é um servidor 2008R2 em um domínio existente, com dois controladores de domínio existentes dc1.olddomain.local e dc2.olddomain.local Esse servidor será usado para, como você deve ter adivinhado, a Ferramenta de Migração do Active Directory (ADMT)
Existem regras de firewall para permitir que newdc.newdomain.com fale com o Active Directory apenas para admt.olddomain.local nos dois sentidos. Todos os testes de DNS são bons, assim como os DCDIAGs em ambos os lados.
Ao criar a confiança em admt.olddomain.local, recebi o seguinte erro
The incoming trust has been verified. It is in place and active.
The verification of the outgoing trust failed with the following error(s):
The trust password verification test was inconclusive.
A secure channel reset will be attempted.
The secure channel reset failed with error 1311: There are currently no logon servers available to service the logon request.
Os trusts foram criados, recebidos e enviados em ambos os domínios. A validação da confiança (das duas formas) em newdc.newdomain.com volta conforme verificado com êxito. No entanto, quando tento validar a confiança do servidor admt.olddomain.local, recebo o seguinte erro:
The secure channel (SC) reset on Active Directory Domain Controller \dc1.olddomain.local of domain olddomain.local to domain newdomain.com failed with error: There are currently no logon servers available to service the logon request.
The incoming trust was successfully validated.
Eu posso ver o problema aqui, embora esteja realizando a validação de admt.olddomain.local ele realmente tenta verificar o canal seguro de dc1.olddomain.local que não pode se comunicar com o servidor newdc.newdomain.com , mas é realmente um problema? Existe alguma maneira de forçar a validação a partir de admt.olddomain.local? Conseguiremos usar o ADMT com essa configuração? (vamos tentar usar uma cópia de teste em breve, só para ver o que acontece na configuração atual)
Eventualmente, reconstruiremos esse servidor admt.olddomain.local em um controlador de domínio Somente Leitura para newdomain.com usando o mesmo endereço de rede e configuração de firewall / roteamento de rede, e será a única máquina capaz de se comunicar com dc01.olddomain.local e dc02.olddomain.local, mas teremos o mesmo problema, já que newdc.newdomain.com não pode rotear diretamente para dc01 / dc02 para verificar confiança?
Obrigado por qualquer comentário sobre isso!