DC com confiança de floresta bidirecional não vê objetos de outra floresta

2

Eu tenho 2 florestas - domainA.com e domainB.net. Há confiança bidirecional configurada em cada um. Quando eu tento pesquisar objetos localizados no domainB.net de domainA.com, ele me dá o seguinte erro:

The system cannot contact a domain controller to service the authentication request.

Se eu tentar a pesquisa vice-versa (em domainA.com de domainB.net) tudo funciona.

Aqui estão alguns testes que fiz no momento:

C:\Windows\system32>nltest /sc_verify:domainB.net
Flags: b0 HAS_IP  HAS_TIMESERV
Trusted DC Name \DCNAME.domainB.net
Trusted DC Connection Status Status = 0 0x0 NERR_Success
Trust Verification Status = 0 0x0 NERR_Success
The command completed successfully

PS C:\Windows\system32> Get-ADTrust -filter {name -eq "domainB.net"}

Direction               : BiDirectional
DisallowTransivity      : False
DistinguishedName       : CN=domainB.net,CN=System,DC=domainA,DC=com
ForestTransitive        : True
IntraForest             : False
IsTreeParent            : False
IsTreeRoot              : False
Name                    : domainB.net
ObjectClass             : trustedDomain
ObjectGUID              : 4cfb2e5b-6c89-05a0-bb33-64fec64344e4
SelectiveAuthentication : False
SIDFilteringForestAware : False
SIDFilteringQuarantined : False
Source                  : DC=domainA,DC=com
Target                  : domainB.net
TGTDelegation           : False
TrustAttributes         : 8
TrustedPolicy           : 
TrustingPolicy          : 
TrustType               : Uplevel
UplevelOnly             : False
UsesAESKeys             : False
UsesRC4Encryption       : False

Existem também 3 florestas diferentes com as mesmas configurações do domainB.net e o mesmo erro.

Sou novo no relacionamento de confiança da floresta, portanto, qualquer ajuda é bem-vinda.

    
por FanteG 05.07.2017 / 12:11

2 respostas

1

Eu encontrei a raiz do problema. Na floresta A há alguns domínios, portanto, a conta da qual tentei listar os recursos da floresta B pertence a um domínio C incluído na floresta A, embora a conta estivesse no grupo de administradores corporativos. Problema resolvido criando conta na floresta Um domínio raiz. Obrigado pela ajuda.

    
por 06.07.2017 / 10:54
0

Isso não é relacionado ao DNS, não é? 'Não é possível entrar em contato com um controlador de domínio' significa que ele não pode ser acessado (o que é possível, pois pode se conectar de outra forma) ou não sabe onde procurar.

Se você nslookup domainA.net de seus DCs domainB.net e vice-versa eles resolvem corretamente (ou seja, uma lista de todos os DCs)? Isso funciona de todos os CDs em suas duas florestas?

Como os servidores DNS de 2 domínios fazem referência aos domínios DNS de outros domínios? Você tem zonas de stub ou forwarders condicionais configurados em ambos os lados e todos os DCs em todos os domínios configuram isso corretamente?

    
por 05.07.2017 / 23:49