windows-server-2008-r2 – 安全通道信任验证失败

发布时间：2020-12-13 23:09:36 所属栏目：Windows 来源：网络整理

导读：处理在两个域之间建立信任的问题,其间有多个防火墙,以及两个服务器之间的针孔路由. newdc.newdomain.com是全新域名中的2012服务器. admt.olddomain.local是现有域中的2008R2服务器,具有两个现有域控制器dc1.olddomain.local和dc2.olddomain.local正如您可能

处理在两个域之间建立信任的问题,其间有多个防火墙,以及两个服务器之间的针孔路由.

newdc.newdomain.com是全新域名中的2012服务器.
admt.olddomain.local是现有域中的2008R2服务器,具有两个现有域控制器dc1.olddomain.local和dc2.olddomain.local正如您可能已经猜到的那样,此服务器将用于Active Directory迁移工具(ADMT)

有防火墙规则允许newdc.newdomain.com以两种方式仅将Active Directory与admt.olddomain.local对话.所有DNS测试都没问题,双方的DCDIAG都是如此.

在admt.olddomain.local上创建信任时,我收到以下错误

The incoming trust has been verified. It is in place and active.
The verification of the outgoing trust failed with the following error(s):
The trust password verification test was inconclusive.
A secure channel reset will be attempted.
The secure channel reset failed with error 1311: There are currently no logon servers available to service the logon request.

然而,在两个域中创建了信任,传入和传出.在newdc.newdomain.com上验证信任(双向)会在成功验证后返回.但是,当我尝试从服务器admt.olddomain.local验证信任时,我收到以下错误：

The secure channel (SC) reset on Active Directory Domain Controller dc1.olddomain.local of domain olddomain.local to domain newdomain.com failed with error: There are currently no logon servers available to service the logon request.

The incoming trust was successfully validated.

我可以在这里看到问题,即使我正在从admt.olddomain.local执行验证,它实际上尝试从dc1.olddomain.local检查安全通道,该通道无法与服务器newdc.newdomain.com通信,但是这真的是个问题吗？有没有办法强制从admt.olddomain.local进行验证？我们能否在此设置中使用ADMT？ (我们将很快尝试使用它的测试副本,只是为了看看当前设置中发生了什么)

最终我们将使用相同的网络地址和防火墙配置/网络路由将这个admt.olddomain.local服务器重建为newdomain.com的只读域控制器,它将是唯一能够与dc01.olddomain通信的机??器.local和dc02.olddomain.local,但是我们会遇到同样的问题,因为newdc.newdomain.com无法直接路由到dc01 / dc02来验证信任吗？

感谢您的任何意见！

好的,这就是我们最终做的,重建AD结构,以便newdomain.com在与olddomain.com AD服务器相同的网络上有一个ADMT / DC服务器,然后将FSMO角色转移到新的域服务器,以便这两个域在没有所有干预防火墙的情况下,FSMO Masters之间可能会毫不犹豫地交谈.如果你已经为DNS,防火墙等解决了所有问题,并且仍然出现错误,请开始查看FSMO角色主人是否可以直接与对方交谈！

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!