Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Настройка доверительных отношений между доменами

Доверительные отношения доменов — права администратора в другом домене

Итак, затронем тему доверительных отношений доменов Active Directory и покопаемся в теме — как для администратора одного домена дать права доменного админа другого домена.

Имеем:

  • Домен 1 (Domain1).
  • Домен 2 (Domain2).
  • Настроенные транзитивные доверительные отношения между этими двумя доменами.

Наша задача — будучи администраторами в одном домене (Domain1) получить права доменных администраторов во втором домене (Domain2). Таким образом, работая на компьютере, находящимся в домене Domain1, под учеткой домена Domain1, Вы сможете рулить серверами и компьютерами домена Domain2, заходить на их административную шару, получать безоговорочный доступ по RDP как администратор и автоматически иметь права локального администратора машинок из домена Domain2. Причем не имея учетки в Domain2.

Таким образом, если Вы являетесь администратором некоего холдинга с несколькими доменами (в начальном случае — двух доменов) Вы сможете ходить на компьютеры других доменов и рулить ими так же, как и компьютерами собственного домена.

1) Создадим в Domain1 группу безопасности, в которую включим все учетные записи, которые следует считать доменными администраторами в Domain2. Назовем ее «Администраторы из Domain1».

Как частный случай: если мы хотим, чтобы все доменные администраторы Domain1 имели права доменных администраторов в Domain2: создаем группу «Администраторы из Domain1» и включаем в нее группу «Domain admins» (или «Администраторы домена», если домен создан на русском языке).

2) Даем группе «Domain1Администраторы из Domain1» права в Domain2.

Для этого открываем оснастку «Active Directory Пользователи и компьютеры» на контроллере домена Domain2, переходим в раздел «Builtin» и находим группу «Administrator» (Администраторы). Открываем ее и добавляем в нее группу «Domain1Администраторы из Domain1». Таким образом мы говорим контроллерами домена Domain2 о том, что наши перцы из Domain1 являются администраторами.

ЗЫ. Добавить группу «Domain1Администраторы из Domain1» сразу в группу «Domain2Domain admins» (Domain2Администраторы домена) НЕЛЬЗЯ! Потому и танцуем с бубном.

3) В домене Domain2 создаем группу безопасности (локальную, не глобальную), в которую включим группу «Domain1Администраторы из Domain1». Назовем ее «Администраторы Domain2».

В будущем, кстати, если нужно давать права на управление сразу из нескольких доменов, то достаточно будет изменить только эту группу — и автоматически все случится.

Помимо группы «Domain1Администраторы из Domain1» в данную созданную группу можно так-же внести и свою собственную «Domain2Domain admins» (или «Domain2Администраторы домена» в русской версии).

4) Создаем групповую политику

Дело в том, что мало прописать группу «Domain1Администраторы из Domain1» в «BuiltinАдминистраторы» — это даст только права на самих контроллерах домена. Нужно еще объяснить обычным компам и серверам, что мы хотим их админить.

Чтобы замутить такое — нужно открыть редактор групповых политик домена Domain2 и создать новую политику. Расположим ее в домене Domain2 и в качестве фильтра оставим по-умолчанию «Прошедшие проверку» — тогда политика будет распространяться на все компьютеры и сервера в домене Domain2.

4а) Открываем редактор групповых политик Domain2 (как именно он открывается зависит от версии Windows Server — для 2008 — это Пуск->Администрирование->Управление групповой политикой; для 2003 — это отдельное, скачиваемое с Microsoft приложение с названием вроде «Group Policy Editor» или типа того, уже не помню).
4б) Создаем новую политику и размещаем в контейнере Domain2.
4в) Открываем ее на редактирование и идем в:
Конфигурация компьютера -> Настройка -> Параметры панели управления -> Локальные пользователи и группы
4г) Создаем новый элемент, в котором указываем:
Действие: Обновить
Имя группы: Администраторы (втроенная учетная запись)
Жмете на «Добавить» и добавляем группу «Domain2Администраторы Domain2».

Закрываем все через ОК — и все, с групповой политикой мы закончили.

5) Теперь придется подождать — пока все компьютеры и серверы обновят групповую политику. После этого в их локальной политике безопасности появится запись о том, что группу «Domain2Администраторы Domain2» нужно считать локальными администраторами, а в данной группе находятся пользователи из группы «Domain1Администраторы из Domain1», и, соответственно, администраторы Domain1 получают административный доступ как к машинкам из домена Domain2, так и к управлению учетными записями Domain2.

ЗЫ. Но вот групповыми политиками у себя по данной схеме оно рулить не дает. Вероятно, но еще в какую-то Builtin группу включать по примеру п.2. Я пока не выяснял — мне оно не горит. Выясню — допишу.

Восстановление доверительных отношений без повторного ввода в домен

В этой статье мы коснемся проблемы нарушения доверительных отношений между рабочей станцией и доменом, мешающей пользователю авторизоваться в системе. Рассмотрим причину проблемы и простой способ восстановления доверительных отношений по безопасному каналу.

Как проявляется проблема: пользователь пытается авторизоваться на рабочей станции или сервере под своей учетной запись и после ввода пароля появляется ошибка:

Или такая:

Попробуем разобраться, что же означают данные ошибки и как их исправить.

Пароль компьютера в домене AD

Когда компьютер вводится в домен Active Directory, для него создается отдельная учетная запись компьютера с паролем. На этом уровне доверие обеспечивается тем, что эта операция выполняется администратором домена или пользователем домена (каждый пользователь по умолчанию может включить в домен 10 ПК).

При регистрации компьютера в домене, между ним и контроллером домена устанавливается безопасный канал, по которому передаются учетные данные, и дальнейшее взаимодействие происходит в соответствии с политиками безопасности, установленными администратором.

Пароль учетной записи компьютера по умолчанию действует 30 дней, после чего автоматически меняется. Смена пароля инициируется самим компьютером на основании доменных политик.

Совет. Максимальный срок жизни пароля может быть настроен с помощью политики Domain member: Maximum machine account password age, которая находится в разделе: Computer Configuration-> Windows Settings-> Security Settings-> Local Policies-> Security Options. Срок действия пароля компьютера может быть от 0 до 999 (по умолчанию 30 дней).

Если пароль компьютера просрочен, он автоматически меняется при следующей регистрации в домене. Поэтом, если вы не перезагружали компьютер несколько месяцев, доверительные отношения между ПК и доменом сохраняются, а пароль компьютера будет сменен при следующей перезагрузке.

Доверительные отношения разрываются, если компьютер пытается аутентифцироваться в домене под неверным паролем. Обычно это происходит, когда компьютер восстанавливают из образа или из снапшота виртуальной машины. В этом случае пароль машины, хранящийся локально, и пароль в домене могут не совпадать.

«Классический» способ восстановить доверительные отношения в этом случае::

  1. Сбросить пароль локального администратора
  2. Вывести ПК из домена и включить его в рабочую группу
  3. Перезагрузится
  4. С помощью оснастки ADUC – сбросить учёту компьютера в домене (Reset Account)
  5. Повторно включить ПК в домен
  6. Еще раз перезагрузиться

Этот метод самый простой, но слишком топорный и требует как минимум двух перезагрузок и 10-30 минут времени. Кроме того, могут возникнуть проблемы с использованием старых локальных профилей пользователей.

Есть более элегантный способ восстановить доверительные отношения без перевключения в домен и без перезагрузок.

Утилита Netdom

Утилита Netdom включена в состав Windows Server начиная с 2008 версии, а на ПК пользователей может быть установлена из RSAT (Remote Server Administration Tools). Чтобы восстанвить доверительные отношения, нужно войти в систему под локальным администратором (набрав “.Administrator” на экране входа в систему) и выполнить такую команду:

Читать еще:  Система доменных имен dns кратко

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

  • Server – имя любого доступного контроллера домена
  • UserD – имя пользователя с правами администратора домена или Full control на OU с учетной записью компьютера
  • PasswordD – пароль пользователя

Netdom resetpwd /Server:sam-dc01 /UserD:aapetrov /PasswordD:Pa@@w0rd

Послу успешного выполнения команды перезагрузка не нужна, достаточно выполнить логофф и войти в систему под доменной учетной.

Командлет Reset-ComputerMachinePassword

Командлет Reset-ComputerMachinePassword появился в PowerShell 3.0, и в отличии от утилиты Netdom, уже имеется в системе, начиная с Windows 8 / Windows Server 2012. На Windows 7, Server 2008 и Server 2008 R2 его можно установить вручную (http://www.microsoft.com/en-us/download/details.aspx?id=34595), также требуется наличие Net Framework 4.0 или выше.

Также нужно войти в систему под локальной учетной записью администратора, открыть консоль PowerShell и выполнить команду:

Reset-ComputerMachinePassword -Server DomainController -Credential DomainAdmin

  • Server – имя контроллера домена
  • Credential – имя пользователя с правами администратора домена (или правами на OU с ПК)

Reset-ComputerMachinePassword -Server sam-dc01 -Credential corpaapetrov

В открывшемся окне безопасности нужно указать пароль пользователя.

Совет. Эту же операцию можно выполнить с помощью другого командлета Powershell Test-ComputerSecureChannel:

Test-ComputerSecureChannel -Repair -Credential corpaapetrov

Проверить наличие безопасного канала между ПК и DC можно командой:

Следующие строки подтверждают, что доверительные отношения были успешно восстановлены:

Trusted DC Connection Status Status = 0 0x0 NERR_Success

Trust Verification Status = 0 0x0 NERR_Success

Как вы видите, восстановить доверительные отношения в домене довольно просто.

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

  • Главная
  • Восстанавливаем доверительные отношения в домене

Восстанавливаем доверительные отношения в домене

  • Автор: Уваров А.С.
  • 28.02.2015

С ошибкой «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» время от времени приходится сталкиваться каждому системному администратору. Но не каждый понимает причины и механизмы процессов, приводящие к ее возникновению. Потому что без понимания смысла происходящих событий невозможно осмысленное администрирование, которое подменяется бездумным выполнением инструкций.

Учетные записи компьютеров, также, как и учетные записи пользователей, являются участниками безопасности домена. Каждому участнику безопасности автоматически присваивается идентификатор безопасности (SID) на уровне которого осуществляется доступ к ресурсам домена.

Перед тем как предоставить учетной записи доступ к домену необходимо проверить ее подлинность. Каждый участник безопасности должен иметь свою учетную запись и пароль, учетная запись компьютера не исключение. При присоединении компьютера к Active Directory для него создается учетная запись типа «Компьютер» и устанавливается пароль. Доверие на этом уровне обеспечивается тем, что данная операция производится администратором домена или иным пользователем, имеющим для этого явные полномочия.

Впоследствии при каждом входе в домен компьютер устанавливает защищенный канал с контроллером домена и сообщает ему свои учетные данные. Таким образом между компьютером и доменом устанавливаются доверительные отношения и дальнейшее взаимодействие происходит согласно установленных администратором политик безопасности и прав доступа.

Пароль учетной записи компьютера действует 30 дней и впоследствии автоматически изменяется. При этом важно понимать, что смену пароля инициирует компьютер. Это происходит аналогично процессу смены пароля пользователя. Обнаружив, что текущий пароль просрочен, компьютер при очередном входе в домен его заменит. Поэтому, даже если вы не включали компьютер несколько месяцев, доверительные отношения в домене сохранятся, а пароль будет заменен при первом входе после длительного перерыва.

Доверительные отношения нарушаются в том случае, если компьютер пытается аутентифицироваться в домене с недействительным паролем. Как такое может произойти? Самый простой способ — это откатить состояние компьютера, например, штатной утилитой восстановления системы. Такой же эффект может быть достигнут при восстановлении из образа, снапшота (для виртуальных машин) и т.п.

Еще один вариант — это изменение учетной записи другим компьютером с таким же именем. Ситуация довольно редкая, но иногда случается, например, когда сотруднику поменяли ПК с сохранением имени, выведя из домена старый, а потом снова ввели его в домен забыв переименовать. В этом случае старый ПК при повторном вводе в домен сменит пароль ученой записи компьютера и новый ПК уже не сможет войти, так как не сможет установить доверительные отношения.

Какие действия следует предпринять, столкнувшись с данной ошибкой? Прежде всего установить причину нарушения доверительных отношений. Если это был откат, то кем, когда и каким образом он был произведен, если пароль был сменен другим компьютером, то опять-таки надо выяснить, когда и при каких обстоятельствах это произошло.

Простой пример: старый компьютер переименовали и отдали в другой отдел, после чего произошел сбой, и он автоматически откатился на последнюю контрольную точку. После чего данный ПК попытается аутентифицироваться в домене под старым именем и закономерно получит ошибку установления доверительных отношений. Правильными действиями в этом случае будет переименовать компьютер как он должен называться, создать новую контрольную точку и удалить старые.

И только убедившись, что нарушение доверительных отношений было вызвано объективно необходимыми действиями и именно для этого компьютера можно приступать к восстановлению доверия. Сделать это можно несколькими способами.

Пользователи и компьютеры Active Directory

Это самый простой, но не самый быстрый и удобный способ. Открываем на любом контроллере домена оснастку Пользователи и компьютеры Active Directory, находим необходимую учетную запись компьютера и, щелкнув правой кнопкой мыши, выбираем Переустановить учетную запись.

Затем входим на потерявшем доверительные отношения компьютере под локальным администратором и выводим машину из домена.

Затем вводим ее обратно, перезагрузку между этими двумя действиями можно пропустить. После повторного ввода в домен перезагружаемся и входим под доменной учетной записью. Пароль компьютера будет изменен при повторном включении компьютера в домен.

Недостаток этого способа, что машину требуется выводить из домена, а также необходимость двух (одной) перезагрузки.

Утилита Netdom

Данная утилита входит в состав Windows Server начиная с редакции 2008, на пользовательские ПК ее можно установить из состава пакета RSAT (Средства удаленного администрирования сервера). Для ее использования войдите на целевой системе локальным администратором и выполните команду:

Разберем опции команды:

  • Server — имя любого доменного контроллера
  • UserD — имя учетной записи администратора домена
  • PasswordD — пароль администратора домена

После успешного выполнения команды перезагрузка не требуется, просто выйдите из локальной ученой записи и войдите в доменный аккаунт.

Командлет PowerShell 3.0

В отличие от утилиты Netdom, PowerShell 3.0 входит в состав системы начиная с Windows 8 / Server 2012, для более старых систем его можно установить вручную, поддерживаются Windows 7, Server 2008 и Server 2008 R2. В качестве зависимости требуется Net Framework не ниже 4.0.

Точно также войдите на системе, для которой нужно восстановить доверительные отношения, локальным администратором, запустите консоль PowerShell и выполните команду:

  • Server — имя любого контроллера домена
  • Credential — имя домена / учетной записи администратора домена

При выполнении этой команды появится окно авторизации в котором вы должны будете ввести пароль для указанной вами учетной записи администратора домена.

Командлет не выводит никаких сообщений при удачном завершении, поэтому просто смените учетную запись, перезагрузка не требуется.

Как видим, восстановить доверительные отношения в домене довольно просто, главное — правильно установить причину возникновения данной проблемы, так как в разных случаях потребуются разные методы. Поэтому мы не устаем повторять: при возникновении любой неполадки сначала нужно выявить причину, а только потом принимать меры к ее исправлению, вместо того чтобы бездумно повторять первую найденную в сети инструкцию.

Читать еще:  Собственный почтовый домен

Настройка доверительных отношений между доменами

Структура сетки такова
есть 2 домена SOURCE и DESTINATION
у SOURCE подсеть 192.168.130.0/24 у DESTINATION 192.168.131.0/24
у SOURCE 2 контроллера домена(DC1,DC2) у DESTINATION 1(SERVER)
Изначально оба домена были подняты без Windows DNS, а на основе UNIX-Bind(просьба не пихать палками, т.к.

это по наследству осталось) но суть не в днс, т.к. я потом трансфер сделал зон с BIND в Windows DNS и сделал

интегрированными с Active Directory.
все роли в домене SOURCE принадлежат контроллеру DC1
SOURCE — Режим работы леса и домена 2003
DESTINATION — Режим работы леса и домена 2008 R2
DC1 — Windows 2008 Standart x32 (Виртуалка)
DC2 — Windows 2008 R2 x64 Enterprise (рельаный)
SERVER — Windows 2008 R2 x64 Enterprise (реальный)
ДНС на всех серверах поднят

Пинги на все контроллеры без проблем проходят. Связь есть. Но неполучается создать доверие леса (двухсторонее транзитивное)(для данного и указанного с проверкой подлинности в лесу) между этими двумя доменами, сейчас поясню чего. если создавать доверие от домена SOURCE к DESTINATION — доверие создается, но с ошибкой (Ошибка при попытке чтения имен, утвержденных указанным доменом. Операция не выполнена. Ошибка: Сбой при удаленном вызове процедуры. Вызов не произведен). Проверка (исходящее и входящее) доверия проходит на ура на домене SOURCE. Но если зайти в домене DESTINATION на просмотр доверий, то они тоже создались, но проверку не проходят — ошибка: Локальному администратору безопасности не удается получить подключение RPC к контроллеру домена Active Directory DC1.SOURCE.local. убедитесь что имя можно разрешить и что сервер доступен.
Если же создавать доверие о DESTINATION к SOURCE то сразу вываливается такая ошибка: Не удалось создать отношение доверия изза следующей ошибки: Локальному администратору безопасности не удается получить подключение RPC к контроллеру домена Active Directory DC1.SOURCE.local. Убедитесь, что имя можно разрешить и что сервер доступен.
Методом тыка я обнаружил что с контроллера SERVER домена DESTINATION тупо нельзя зайти в шару на контроллере домена DC1 домена SOURCE. наоборот все без проблем работает. От юзеров на все компы в том числе и контроллеры доменов через шару можно без проблем заходить и наоборот, кроме единственного момента от SERVER на DC1. Вот тут и понятно чего нельзя доверие создать. от SERVER на DC2 без проблем заходит.
Ломая голову как угодно я решил сделать бекапы и запустить на виртуалке дома и играться. Дома все эти 3 контроллера восстановил на виртуалках, создал виртуальные сети. Все как в производственной среде. и что вы думаете, доверие без проблем создалось и работает. через шару с SERVER на DC1 без проблем заходит.
Dcdiag и dcdiag /test ns со всех контроллеров без проблем работает.
Если нужны еще какието тесты, могу скинуть.
Блин дайте мне пистолет. что я делаю не так? Куда смотреть? Брендмауеры везде отключены.

по поводу пересылки:
я в свойствах каждого DNS сервера поставил в вкладке пересылку на DNS сервер с другой подсети:
ip адреса КД:
DC1-192.168.130.9
DC2-192.168.130.11
SERVER-192.168.231.33

На DC1 и DC2 сервер пересылки стоит 192.168.231.33
на SERVER сервер пересылки 192.168.130.9

Передачу зон делал только когда переходил с BIND на Windows потом сделал основную зону и затем интегрированную с AD

Да пинг выполняется с SERVER на DC1.SOURCE.local и наоборот с DC1 на SERVER.DESTINATION.local

Всмысле посдключиться к оснастке другого? через шару с всех доменов я куда угодно могу подключиться(кроме одного момента)

например подключения без проблем проходят с DC1 на \DC2.SOURCE.local и на \SERVER.DESTINATION.local и на всех юзеров и юзеры на них
с DC2 на \DC1.SOURCE.local и на \SERVER.DESTINATION.local и на всех юзеров и юзеры на них
с SERVER на \DC2.SOURCE.local и на всех юзеров и юзеры на них

но вот один момент.
с SERVER в шару на \DC1.SOURCE.local немогу зайти ни через ip \192.168.130.9 ни по FQDN
Пишет ошибка RPC
с SERVER на другие компы в обоих доменах на шары заходит без проблем(с паролем и без)

нельзя конечно ресуры одного домена увидеть другого до установки доверия, потомучто будет спрашивать пароль(ну это когда с заходом в шару)

Как мелкософт посоветовал сделать с SERVER rpcping -s 192.168.130.9(DC1) — и он не прошел на DC2(192.168.130.11) проходит без проблем
с DC1 на SERVER rpcping работает нормально

У вас действительно очень много букв, сложно понять, что к чему.

Для создания трастов между доменами нужно выполнение следующих условий:

1) КД в первом домене способны разрешать имена во втором домене, и наоборот. Проверяется командой ping ИМЯ_ДОМЕНА. У вас, если я правильно понял, это настроено и работает.

2) Пользователь, устанавливающий трасты, имеет административные права в обоих доменах (если создается двусторонний траст).

3) Трафик между контроллерами домена не блокируется сетевыми или встроенными в Windows файерволлами, и все необходимые системные службы работают на обоих серверах (по умолчанию работает все, что нужно, но поскольку серверы с предысторией, это нужно проверять).

Еще раз убедитесь, что эти условия выполняются. Если выполняются, следует анализировать логи КД на предмет анализа возникающих ошибок.

sv_igor
нельзя конечно ресуры одного домена увидеть другого до установки доверия, потомучто будет спрашивать пароль
Как раз можно и нужно Просто ДО установки доверия Вам необходимо использовать учётные данные из «родного» домена для доступа к ресурсу. А после установки доверия Вы сможете обращаться к ресурсам доверителя с учётными данными своего, доверенного, домена.
Но для этого, натурально, надо дать соответствующие разрешения сетевого доступа и NTFS группам из доверенного домена. Рекомендуется это делать по довольно развесистой схеме, но для начала просто включите ч/з мастер общего доступа группу администраторов доверенного («гостевого») домена.

По DNS: попробуйте сделать не пересылку (которая, кстати, у Вас, скорее всего, сделана неправильно), а именно настроить передачу зон между DNS-серверами доменов.
Вопрос: какую конфигурацию DNS Вы делали в виртуальной среде? Вы переносили «живые» контроллеры в виртуальную среду или моделировали «с нуля»?

Lotto
1) КД в первом домене способны разрешать имена во втором домене, и наоборот. Проверяется командой ping ИМЯ_ДОМЕНА. У вас, если я правильно понял, это настроено и работает.
Да работает пинги идут

2) Пользователь, устанавливающий трасты, имеет административные права в обоих доменах (если создается двусторонний траст).
Так и есть везде я админ

3) Трафик между контроллерами домена не блокируется сетевыми или встроенными в Windows файерволлами, и все необходимые системные службы работают на обоих серверах (по умолчанию работает все, что нужно, но поскольку серверы с предысторией, это нужно проверять).

фаервол нигде не стоит, между сетями фаервола нет, статическая маршрутизация на роутерах
да все службы работают без проблем.

неработает, повторюсь один момент: нет доступа с 192.168.131.3(SERVER) на 192.168.130.9(DC1) через RPC протокол

все остальное работает, днс с DC 1 откликается все пингуется

gfg
Как раз можно и нужно Просто ДО установки доверия Вам необходимо использовать учётные данные из «родного» домена для доступа к ресурсу. А после установки доверия Вы сможете обращаться к ресурсам доверителя с учётными данными своего, доверенного, домена.

Читать еще:  Контроллер домена синхронизация данных

Да наверное мы дург друга не поняли Да можно доступ иметь но только под соответсвующим логином и паролем

По DNS: попробуйте сделать не пересылку (которая, кстати, у Вас, скорее всего, сделана неправильно), а именно настроить передачу зон между DNS-серверами доменов.
ок попробую

Вопрос: какую конфигурацию DNS Вы делали в виртуальной среде? Вы переносили «живые» контроллеры в виртуальную среду или моделировали «с нуля»?

живые серваки переносил DC1(он на ESXi) и реальный SERVER(с помощью Acronis backup restore) дрова он сам доставил на новую сетевуху и контроллер жестких дисков

также в виртуальной среде сделал 2 маршрутизатора (на FreeBSD) с такой же конфигурацией для соединения подсеток 130 и 131

Повторюсь здесь косяк именно в подключении по RPC от SERVER к DC1

sv_igor
живые серваки переносил DC1(он на ESXi) и реальный SERVER
Т.е. в виртуальную среду Вы переносили только один КД домена SOURCE?

Повторюсь здесь косяк именно в подключении по RPC от SERVER к DC1
Я прочитал. Не увлекайтесь, пожалуйста, текстом. Это Вам кажется, что Вы всё понятно излагаете, а на самом деле какая-то куча-мала
Что даёт проверка доверия на SERVER? И, возможно, стоит просто подождать репликации?
rpcping с DC2 на DC1 нормально (по адресу)?

gfg
Т.е. в виртуальную среду Вы переносили только один КД домена SOURCE?
да. т.к. изначально в каждом домене было по 1 контроллеру домена, но суть не в этом. глюк был и тогда с RPC
DC2 поднял для теста. и передал ему роль хозяин именования доменов. доверие создалось от SOURCE к DESTINATION с ошибкой, но при проверке доверий не ругается на обоих сторонах. с компов юзеров теперь можно выбирать в какой домен логиниться и логинится без проблем шо с домена SOURCE шо с DESTINATION.

вообщемто с доверием разобрался через воркараунд(перенос роли именования доменов на непроблемный сервер)

rpcping с DC2 на DC1 нормально (по адресу)
да рпс пинги приходят на ура
мой рабочий комп находится в домене DESTINATION и rpcping на все контроллеры проходит тоже на ура

sv_igor
т.к. изначально в каждом домене было по 1 контроллеру домена, но суть не в этом
А мне почему-то кажется, что суть как раз в этом

След. вопрос: а что сейчас-то беспокоит? Ведь RPC не самоцель, верно? Что именно работает не так, как хотелось бы?
(покороче и почётче, если можно)

gfg
А мне почему-то кажется, что суть как раз в этом
не в этом т.к. рпц этот не работал когда были 2 домена в каждом по 1 контроллеру, и я в то время переносил на виртуальную машину(когда было по 1 контроллеру в каждом домене) проблема исчезла в виртуальной сети.

След. вопрос: а что сейчас-то беспокоит? Ведь RPC не самоцель, верно? Что именно работает не так, как хотелось бы?
Ну я думаю для полного взаимодействия между доменами DC1 на котором оставшиеся все 4 роли RPC понадобится. Или я чтото путаю? чтоб в дальнейшем небыло косяков а почему то неработает, а почему это?

Как настроить доверительные отношения trust на samba 4

Настройка отношения доверенности trust между samba 4 и Windows Server 2008.Эта статья не претендует на правильность изложенного материала, в ней не использована перепечатка текста с официальной документации или с аналогичных статей. Материал изложенный здесь лишь изложение знаний, сложившихся у меня в голове после изучения материала для настройки доверительных отношений между samba 4 и Windows Server 2008.
Информация для создания материала взята из разных источников большая часть это форумы.

Если вспомнить историю, то samba 4 это продукт который создавался совместно с специалистами Microsoft. Конечно Microsoft не желал помогать своим конкурентам, но представители samba тоже парни не промах и просто подали иск в суд на Microsoft за то, что MS монополист на рынке относительно softa для работы шар, сетевых окружений, и прочего чем мы пользуемся каждый день, используя smb. И самбисты выиграли спор.
MS специалисты развернули код самбистам и те начали создавать, то что сейчас называется samba 4.
Разработчики samba 4 не забыли и про свой отлаженный продукт samba 3, и включили весь функционал samba 3 в samba 4, но при этом четко сказали, что пакет samba 4, можно настроить и как NT, и как AD. При этом я думаю понятно, что оба режима сразу использовать не получится.
Четкая позиция Samba относительно разделения функционала преследует нас и дальше, к примеру, если нам захочется сделать отношения доверенности между доменами с samba3 (NT) и samba4 (AD), то мы обязаны поднять samba 3 до AD, то есть обновиться до samba 4.
Создание траста в samba 4 с MS Windows, да и создание траста в принципе в samba появилось далеко не сразу, лишь с выходом версии 4.3. До выхода этой версии создать траст в samba просто не возможно, ну а люди желающие это сделать непременно разочаровывались.
Но с выходом версии 4.3 opennet просигналил нам, что в анонсах samba 4.3, заявлена таки поддержка трастов.

Принцип создания трастов samba 3 не плохо описан в официальной доке, и выглядит так:

1. Для того, чтобы samba стала доверенной нужно создать пользователя и пароль к нему используя, cозданные учетные данные будут использоваться удаленной стороной Windows для аутентификации

2. Для того, чтобы удаленный домен доверял samba нужно использовать команду
net rpc trustdom establish windomainA –S –U domain\Administrator%pw
Посмотреть что получилось
net rpc trustdom list -U root/%pw

Для создания доверительных отношений в samba 4 нужно использовать команду samba-tool domain trust create

Как правильно настроить? Здесь будут описаны настройки двухсторонних доверительных отношений, но только со стороны samba. Первое что нужно сделать это отдать свою зону dns удаленной стороне, и принять dns зону от удаленной стороны, чтобы получить ping domain.com и nslookup domain.com. Тут сразу стоит отметить что встроенный в samba dns сервер этого не умеет, а для того чтобы подобное реализовать нужно использовать bind. Можно обойти проблему добавив ip адрес dns сервера удаленной стороны в resolv.conf
Домен должен быть поднят, но не обязательно до Windows Server 2008.
Настраиваем отношения доверия на samba 4
samba-tool domain trust create addom.local -k no -UDOMAIN\Administrator%ADAdminPassword —type=external —create-location=local —skip-validation
Вводим пароль для входящего и исходящего траста.
New Incoming Trust Password: Password
Retype Incoming Trust Password: Password
New Outgoing Trust Password: Password
Retype Outgoing Trust Password: Password
Для создания одностороннего доверия можно использовать опцию —direction=incoming Проверяем что получилось
samba-tool domain trust list
После создания доверия поиск по каталогу должен дать результат
univention-s4search ‘sAMAccountName=DOMAIN$’ accountExpires
После перечисленных действий dc samba должна получать билет от Kerberos kinit user»@»DOMAIN.LOCAL
wbinfo должен показать пользователей и группы удаленного домена
wbinfo –a DOMAIN+User
wbinfo -u —domain=dc.domain.local

Дополнительные действия которые могут понадобиться
install libpam-winbind libnss-winbind
set auth/methods=krb5 ldap unix winbind

Ограничения samba 4 траст
Отсутствует функция SID Filtering
Не поддерживается добавление пользователей или групп из доверенного домена А в группы домена В.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector
×
×