Donc, j'ai deux forêts, appelons-les alpha.exemple.com y bravo.exemple.com . Les noms NETBIOS des domaines sont ALPHA et BRAVO, respectivement. Cela semble indiquer qu'il n'y a pas de problème avec le nommage des domaines, ils ont deux noms différents, tant au niveau du DNS que du NETBIOS.
J'ai les serveurs suivants comme contrôleurs de domaine :
- dc01.alpha.example.com
- dc02.alpha.example.com
- dc01.bravo.example.com
Lorsque j'essaie d'établir une confiance forestière entre ALPHA et BRAVO de cette manière, j'obtiens "No Logon servers available to service the logon request" (aucun serveur de connexion disponible pour répondre à la demande de connexion) lorsqu'il s'agit de vérifier la confiance. J'ai trouvé quelques fils du forum en ligne et j'ai entendu des témoignages anecdotiques selon lesquels des problèmes se posent lorsque l'on connecte deux domaines ensemble et que les contrôleurs de domaine des deux domaines portent le même nom. Cela n'a pas de sens pour moi, et il semble qu'il s'agisse d'un bogue dans les outils Microsoft.
Je ne pensais pas que cela devait être un problème, puisque dc01.alpha.example.com et dc01.bravo.example.com sont manifestement deux machines différentes, mais Windows ne semble pas être d'accord avec moi.
Est-ce qu'il me manque un élément d'information qui me permettrait de faire fonctionner cette configuration ? Renommer les contrôleurs de domaine n'est malheureusement pas une bonne solution pour nous, car il s'agit de connecter ensemble un grand nombre de forêts dont les contrôleurs de domaine portent tous le même nom. Cela impliquerait de renommer un grand nombre de DC:s.
Pour mémoire, le fait de renommer l'un des contrôleurs de domaine me permet d'établir une confiance, mais je ne veux vraiment pas avoir à le faire dans le monde réel si je peux l'éviter.
Toutes les machines du laboratoire fonctionnent sous Windows Server 2012 R2, avec des correctifs à jour, mais sans hotfixes spéciaux installés.
Le DNS est configuré de la manière suivante : dans le domaine ALPHA, une zone stub est ajoutée pour bravo.example.com, pointant sur l'adresse IP de dc01.bravo.example.com. À son tour, dc01.bravo.example.com utilise dc01.alpha.example.com et dc01.bravo.example.com comme DNS amont. C'est une configuration un peu compliquée (parce que c'est un laboratoire...), mais le résultat est une résolution DNS correcte dans les deux sens. dc01.bravo.example.com peut résoudre les noms dans bravo.example.com (parce qu'il fait autorité) et les noms alpha.exaple.com sont correctement résolus parce que le DNS en amont fait autorité pour lui. Les résolveurs de alpha peuvent résoudre correctement les noms de bravo grâce à la zone stub (qui est ajoutée à AD pour que les deux serveurs DNS la reçoivent).
J'ai également essayé :
- Passage d'une zone de stub à un transitaire conditionnel
- Exécution d'un trust forestier plutôt que d'un trust externe
Aucun changement dans les symptômes.
0 votes
Avez-vous configuré des redirections DNS de chaque domaine vers l'autre domaine ?
0 votes
@joeqwerty Le DNS est correctement configuré. J'ai ajouté quelques détails concernant la configuration du DNS dans le message.
0 votes
Pourquoi ne pas ajouter le domaine DNS de l'autre ou des autres domaines à l'ordre de recherche des suffixes DNS ? Ainsi, en alpha, ajoutez bravo.example.com à l'ordre de recherche.
0 votes
@GregAskew Je ne suis pas sûr de ce que cela apporterait, étant donné que le trust fonctionne bien tant que les DC ont des noms différents. En fait, cela pourrait aggraver le problème.
0 votes
Ah ok. Malheureusement, je pense que vous êtes pleinement en territoire non orthodoxe. Si vous trouvez quelqu'un qui le fait avec succès, faites-le nous savoir.
0 votes
@GregAskew Je ne vois pas ce qu'il y a de peu orthodoxe à connecter deux domaines où les deux contrôleurs de domaine ont le même nom de serveur, il n'est pas du tout inhabituel de voir des contrôleurs de domaine nommés "dc01" ou similaire. Il n'y a rien dans les documents MS que j'ai trouvés jusqu'à présent qui suggère que ce n'est pas autorisé.
0 votes
Peu orthodoxe dans le sens où personne ne le fait vraiment. Les trusts externes ne sont pas très courants (pour des raisons de sécurité) et les trusts externes où les contrôleurs de domaine ont des conflits de noms sont si rares qu'ils ne sont pas statistiquement mesurables. Si vous pensez que c'est un défaut, appelez Microsoft, je suis sûr qu'ils seront heureux de vous aider.
0 votes
Je viens de le tester, la même chose se produit pour un trust forestier, pas seulement pour les trusts externes.
0 votes
Je sais que vous avez essayé, mais vous devriez probablement vous en tenir aux transitaires conditionnels, de toute façon. C'est la manière recommandée de mettre en place une confiance ( technet.microsoft.com/fr/us/library/ )
0 votes
Je suis d'accord pour dire que le fait d'avoir un DC dans chaque domaine avec le même nom NetBIOS ne devrait pas empêcher la création de la confiance. Ce doit être un scénario que MS a prévu. Cela dit, lancez une capture Wireshark (ou autre) sur le DC pour lequel vous créez la confiance. de et voyez s'il y a un trafic NetBIOS sortant de l'ordinateur. Quand je dis sortant, je veux dire tout le trafic NetBIOS sortant, et pas seulement le trafic sortant vers le domaine de destination. Cela peut vous donner un indice sur ce qui se passe.