Проверка доверия между доменами не удалась с командой ‘netdom’

Вопрос или проблема

netdom trust <TrustingDomainName> {/d: | /domain:} <TrustedDomainName> [{/ud: | /userd:}[<Domain>\]<User> [{/pd: | /passwordd:}{<Password>|*}] [{/uo: | /usero:}<User>] [{/po: | /passwordo:}{<Password>|*}] [/verify] [/reset] [/passwordt:<NewRealmTrustPassword>] [/add [/realm]] [/remove [/force]] [/twoway] [/kerberos] [/transitive[:{YES|NO}]] [/oneside:{TRUSTED | TRUSTING}] [/force] [/quarantine[:{YES | NO}]] [/namesuffixes:<TrustName> [/togglesuffix:#]] [/EnableSIDHistory] [/ForestTRANsitive] [/SelectiveAUTH][/AddTLN][/AddTLNEX][/RemoveTLN] [/RemoveTLNEX][/SecurePasswordPrompt] [/EnableTgtDelegation] [{/help | /?}]

Ответ или решение

Проверка доверительных отношений между доменами с помощью команды netdom

При настройке кросс-доменных доверительных отношений в Active Directory, вы можете столкнуться с различными проблемами, включая сбой проверки доверия с использованием команды netdom. В вашем случае вы используете Windows Server 2012 с доменом AD-DEMO.LOCAL и настроили доверие к реальному домену Kerberos, который находится на системе Ubuntu и называется KERBEROS.COM. Давайте разберем шаги, которые вы уже предприняли, и проанализируем возможные причины неудачи.

Анализ проблемы и решения

1. Проверьте корректность настройки доверия
   Перед выполнением команды netdom, убедитесь, что доверие между доменами было правильно установлено через интерфейс Active Directory Domains and Trusts. Это можно сделать, открыв свойства доверия и подтвердив, что всё настроено верно (двусторонняя проверка, транзитивность и т.д.).

2. Убедитесь в наличии соответствующих учетных данных
   Команда netdom trust требует уверенности, что вы предоставили правильные административные учетные данные для обоих доменов при выполнении команды. Убедитесь, что вы включили себя в команду, как показано в следующем примере:

   netdom trust KERBEROS.COM /d:AD-DEMO.LOCAL /verify /UserO:<AD-User> /PasswordO:* /UserD:<Kerberos-User> /PasswordD:*

   Замените <AD-User> и <Kerberos-User> на действительные учетные записи с правами администратора в соответствующих доменах. Обратите внимание, что если вы не укажете эти параметры, команда может завершиться ошибкой.

3. Проверка настроек Kerberos
   Убедитесь, что ваш Kerberos сервер правильно настроен и имеет все необходимые записи в DNS для обоих доменов. Также проверьте, установлен ли правильный время на обоих серверах. Рассинхронизация времени может привести к сбоям в проверке доверительных отношений.

4. Проверка сетевых соединений
   Убедитесь, что между доменами нет сетевых проблем. Проверка с помощью ping, nslookup и других сетевых инструментов может помочь выявить проблемы с подключением.

5. Просмотр журналов событий
   Проверьте журналы событий на контроллере домена Windows, особенно в разделе "Безопасность" и "Системные события". В журналах могут содержаться ошибки, которые помогут выявить проблему.

6. Использование графического интерфейса для проверки
   Если команда netdom продолжает выдавать ошибку, вы можете попробовать проверить доверительные отношения с помощью графического интерфейса Active Directory Domains and Trusts. Откройте консоль, выберите интересующий вас домен и перейдите на вкладку «Доверия». Здесь можно выбрать нужное доверие и нажать кнопку «Проверить».

7. Дополнительные источники информации
   Ознакомьтесь с документацией Microsoft, включая статьи, на которые вы ссылались. Они могут содержать обновления или рекомендации по устранению неполадок, специфичных для конфигурации вашего сервера.

Заключение

Проблемы с проверкой доверительных отношений часто возникают из-за неправильных конфигураций учетных записей, сетевых проблем или ошибок во время установки доверия. Следуя приведенным выше рекомендациям, вы сможете обнаружить и устранить проблему. Убедитесь, что все настройки учтены, а также проверьте сетевые подключения и учетные данные. Если проблема сохраняется, рассмотрите возможность обращения в службу поддержки Microsoft для дальнейшей консультации.