具有相同主機名稱的兩個網域控制站之間的 Windows 林信任

具有相同主機名稱的兩個網域控制站之間的 Windows 林信任

所以,我有兩個森林,我們稱它們為alpha.example.combravo.example.com。域的 NETBIOS 名稱分別為 ALPHA 和 BRAVO。這似乎意味著網域命名沒有問題,它們有兩個不同的名稱,DNS 面向和 NETBIOS 方面。

我有以下伺服器作為網域控制器:

  • dc01.alpha.example.com
  • dc02.alpha.example.com
  • dc01.bravo.example.com

當我嘗試像這樣在 ALPHA 和 BRAVO 之間建立林信任時,在實際驗證信任時,我收到「沒有可用於服務登入請求的登入伺服器」。我發現了一些論壇主題在網路上以及聽到一些軼事證據表明,將兩個網域連接在一起時會出現問題,因為兩個網域中的網域控制器具有相同的名稱。這對我來說似乎沒有意義,而且聽起來這是微軟工具中的一個錯誤。

我不認為這應該是個問題,因為 dc01.alpha.example.com 和 dc01.bravo.example.com 顯然是兩台不同的機器,但 Windows 似乎不同意我的觀點。

我是否缺少一些可以使我的設定正常工作的資訊?不幸的是,重命名網域控制站對我們來說是一個糟糕的答案,因為最終的結果是將許多具有相同名稱的網域控制站的林連接在一起。這意味著要重命名一堆 DC:。

根據記錄,重命名其中一個網域控制器確實允許我建立信任,但如果可以的話,我真的不想在現實世界中這樣做。

實驗室中的所有電腦都執行具有最新修補程式的 Windows Server 2012 R2,但沒有安裝特殊的修補程式。

DNS 以下列方式設定:在 ALPHA 網域中,為 bravo.example.com 新增存根區域,指向 dc01.bravo.example.com 的 IP 位址。反過來,dc01.bravo.example.com 使用 dc01.alpha.example.com 和 dc01.bravo.example.com 作為上游 DNS。這是一個有點 hacky 的設定(因為它是一個實驗室...),但結果是在兩種方式下都能正確地進行 DNS 解析。 dc01.bravo.example.com 可以解析 bravo.example.com 中的名稱(因為它是權威性的),並且 alpha.exaple.com 名稱可以正確解析,因為上游 DNS 對其具有權威性。由於存根區域(新增至 AD 以便兩個 DNS 伺服器都能取得它),alpha 中的解析器可以正確解析 bravo 的名稱。

我還嘗試過:

  • 從存根區域變更為條件轉發器
  • 經營森林信託而不是外部信託

症狀無變化。

答案1

您的問題是由於所謂的名稱後綴路由引起的。下面的文章描述了這個問題: https://technet.microsoft.com/en-us/library/cc784334%28v=ws.10%29.aspx 它指出netdom可以用來解決這個問題。

文章部分指出

跨森林路由名稱後綴

名稱後綴路由是一種機制,用於管理如何在透過林信任連接在一起的 Windows Server 2003 林中路由驗證請求。為了簡化身份驗證請求的管理,在最初建立林信任時,預設會路由所有唯一名稱後綴。唯一名稱後綴是林內的名稱後綴,例如使用者主體名稱 (UPN) 後綴、服務主體名稱 (SPN) 後綴或 DNS 林或網域樹名稱,不從屬於任何其他名稱後綴。例如,DNS 林名稱 microsoft.com 是 microsoft.com 林中唯一的名稱後綴。

森林可以包含多個唯一名稱後綴,並且唯一名稱後綴的所有子級都會隱式路由。因此,在 Active Directory 網域和信任中,名稱後綴的開頭帶有星號 (*)。例如,如果您的森林使用.microsoft.com 作為唯一名稱後綴,然後對 microsoft.com 的所有子層級進行驗證要求(.child.microsoft.com)將會被路由,因為子網域是 microsoft.com 名稱後綴的一部分。

如果兩個林之間存在林信任,則一個林中不存在的名稱後綴可用於將身份驗證請求路由到第二個林。當新的孩子名字後綴(.child.widgets.com)被加到唯一的名稱後綴(.widgets.com),子名稱後綴將繼承其所屬唯一名稱後綴的路由配置。驗證信任後,建立林信任後所建立的任何新的唯一名稱後綴都會顯示在林信任屬性對話方塊中。但是,預設情況下將停用這些新的唯一名稱後綴的路由。有關如何驗證信任的更多信息,請參閱驗證信任。

當偵測到重複的名稱後綴時,預設會停用最新名稱後綴的路由。有關如何路由名稱後綴的詳細信息,請參閱啟用或停用路由中的現有名稱後綴。管理員可以使用林信任屬性對話框手動阻止將特定名稱後綴的身份驗證請求路由到林。

注意 • 請勿將@ 符號加入UPN 字尾或使用者名稱。當身份驗證請求路由到受信任的林時,第一個 @ 符號之前的所有字元都將解釋為用戶名,第一個 @ 符號之後的所有字元都會解釋為 UPN 後綴。

• 本地安全機構(LSA) 將阻止路由至任何非有效DNS 名稱的UPN 後綴。例如,在 UPN 後綴添加 @ 符號將導致其自動停用。

相關內容