동일한 호스트 이름을 가진 두 도메인 컨트롤러 간의 Windows 포리스트 트러스트

동일한 호스트 이름을 가진 두 도메인 컨트롤러 간의 Windows 포리스트 트러스트

이제 두 개의 숲이 있습니다. 숲이라고 부르겠습니다.alpha.example.com그리고bravo.example.com. 도메인의 NETBIOS 이름은 각각 ALPHA 및 BRAVO입니다. 이는 도메인 이름 지정에 문제가 없음을 의미하는 것처럼 보입니다. DNS 및 NETBIOS라는 두 가지 다른 이름이 있습니다.

도메인 컨트롤러로 다음 서버가 있습니다.

  • dc01.alpha.example.com
  • dc02.alpha.example.com
  • dc01.bravo.example.com

이와 같이 ALPHA와 BRAVO 간에 포리스트 신뢰를 설정하려고 하면 실제로 신뢰를 확인할 때 "로그온 요청을 처리할 수 있는 로그온 서버가 없습니다"라는 메시지가 나타납니다. 내가 발견했다일부 포럼 스레드온라인에서도 두 도메인의 도메인 컨트롤러 이름이 동일한 경우 두 도메인을 함께 연결할 때 문제가 있다는 일화적인 증거를 들었습니다. 이것은 나에게는 이해가 되지 않는 것 같고 Microsoft 도구의 버그인 것처럼 들립니다.

dc01.alpha.example.com과 dc01.bravo.example.com은 분명히 두 개의 다른 컴퓨터이기 때문에 이것이 문제가 될 것이라고 생각하지 않았지만 Windows는 내 의견에 동의하지 않는 것 같습니다.

이 설정을 작동시키는 데 필요한 일부 정보가 누락되었습니까? 불행히도 도메인 컨트롤러의 이름을 바꾸는 것은 우리에게 나쁜 대답입니다. 왜냐하면 최종 게임에서는 모두 동일한 이름의 도메인 컨트롤러가 있는 많은 포리스트를 함께 연결하기 때문입니다. 이는 여러 DC의 이름을 바꾸는 것을 의미합니다.

참고로 도메인 컨트롤러 중 하나의 이름을 바꾸면 신뢰를 구축할 수 있지만, 가능하다면 현실 세계에서는 그렇게 하고 싶지 않습니다.

연구실의 모든 컴퓨터는 Windows Server 2012 R2를 최신 패치로 실행하고 있지만 특별한 핫픽스는 설치되어 있지 않습니다.

DNS는 다음과 같은 방식으로 설정됩니다. ALPHA 도메인에서는 dc01.bravo.example.com의 IP 주소를 가리키는 bravo.example.com에 대한 스텁 영역이 추가됩니다. 그러면 dc01.bravo.example.com은 dc01.alpha.example.com 및 dc01.bravo.example.com을 업스트림 DNS로 사용합니다. 약간 해킹된 설정이지만(실험실이기 때문에...) 결과적으로 두 가지 방식 모두에서 DNS 확인이 올바르게 작동합니다. dc01.bravo.example.com은 bravo.example.com의 이름을 확인할 수 있으며(신뢰할 수 있기 때문에) alpha.exaple.com 이름은 업스트림 DNS가 신뢰할 수 있기 때문에 올바르게 확인됩니다. 알파의 확인자는 스텁 영역(AD에 추가되어 두 DNS 서버 모두 이를 얻을 수 있음)으로 인해 bravo의 이름을 올바르게 확인할 수 있습니다.

나는 추가적으로 다음을 시도했다:

  • 스텁 영역에서 조건부 전달자로 변경
  • 외부 트러스트 대신 포리스트 트러스트 실행

증상에는 변화가 없습니다.

답변1

귀하의 문제는 이름 접미사 라우팅으로 인해 발생합니다. 다음 문서에서는 문제를 설명합니다. https://technet.microsoft.com/en-us/library/cc784334%28v=ws.10%29.aspx 문제를 해결하기 위해 netdom을 사용할 수 있다고 명시되어 있습니다.

기사의 일부 내용

포리스트 간 라우팅 이름 접미사

이름 접미사 라우팅은 포리스트 트러스트로 결합된 Windows Server 2003 포리스트 전체에서 인증 요청이 라우팅되는 방식을 관리하는 데 사용되는 메커니즘입니다. 인증 요청 관리를 단순화하기 위해 포리스트 트러스트가 처음 생성될 때 모든 고유 이름 접미사가 기본적으로 라우팅됩니다. 고유 이름 접미사는 UPN(사용자 계정 이름) 접미사, SPN(서비스 사용자 이름) 접미사, DNS 포리스트 또는 도메인 트리 이름과 같이 다른 이름 접미사에 종속되지 않는 포리스트 내의 이름 접미사입니다. 예를 들어 DNS 포리스트 이름 microsoft.com은 microsoft.com 포리스트 내의 고유한 이름 접미사입니다.

포리스트에는 여러 개의 고유 이름 접미사가 포함될 수 있으며 고유 이름 접미사의 모든 하위 항목은 암시적으로 라우팅됩니다. 이로 인해 Active Directory 도메인 및 트러스트에서는 이름 접미사 앞에 별표(*)가 표시됩니다. 예를 들어, 숲이 다음을 사용하는 경우.microsoft.com을 고유한 이름 접미사로 지정한 다음 microsoft.com의 모든 하위 항목에 대한 인증 요청(.child.microsoft.com)은 하위 도메인이 microsoft.com 이름 접미사의 일부이기 때문에 라우팅됩니다.

두 포리스트 사이에 포리스트 트러스트가 존재하는 경우 한 포리스트에 없는 이름 접미사를 사용하여 인증 요청을 두 번째 포리스트로 라우팅할 수 있습니다. 새로운 아이 이름 접미사(.child.widgets.com)이 고유한 이름 접미사(.widgets.com), 하위 이름 접미사는 자신이 속한 고유 이름 접미사의 라우팅 구성을 상속합니다. 포리스트 트러스트가 설정된 후에 생성된 새로운 고유 이름 접미사는 트러스트를 확인한 후 포리스트 트러스트 속성 대화 상자에 표시됩니다. 그러나 이러한 새로운 고유 이름 접미사에 대한 라우팅은 기본적으로 비활성화됩니다. 신뢰를 확인하는 방법에 대한 자세한 내용은 신뢰 확인을 참조하세요.

중복된 이름 접미사가 감지되면 최신 이름 접미사에 대한 라우팅이 기본적으로 비활성화됩니다. 이름 접미사를 라우팅하는 방법에 대한 자세한 내용은 라우팅에서 기존 이름 접미사 활성화 또는 비활성화를 참조하세요. 관리자는 포리스트 신뢰 속성 대화 상자를 사용하여 특정 이름 접미사에 대한 인증 요청이 포리스트로 라우팅되는 것을 수동으로 방지할 수 있습니다.

참고 • UPN 접미사 또는 사용자 이름에 @ 기호를 추가하지 마십시오. 인증 요청이 신뢰할 수 있는 포리스트로 라우팅되면 첫 번째 @ 기호 앞의 모든 문자는 사용자 이름으로 해석되고 첫 번째 @ 기호 뒤의 모든 문자는 UPN 접미사로 해석됩니다.

• LSA(로컬 보안 기관)는 유효한 DNS 이름이 아닌 UPN 접미사로의 라우팅을 차단합니다. 예를 들어 UPN 접미사에 @ 기호를 추가하면 해당 접미사가 자동으로 비활성화됩니다.

관련 정보