web-dev-qa-db-ja.com

ドメイントラスト2008〜2003

Windows Server2003とWindowsServer 2008ADの間の信頼関係を設定するのに問題があります。

ドメインaは、Windows Server2003フォレストの機能レベルです。

ドメインbは、Windows Server2008フォレストの機能レベルです。

ドメイン「b」を信頼するように、ドメイン「a」で信頼関係の着信側を設定できます。

ドメイン「b」で試してみてください。ドメイン「a」への信頼関係の発信側を設定できません。

GUIインターフェースが役に立たない「要求はサポートされていません」。

FilterSIDを参照しているため、netdomが多かれ少なかれ役立つかどうかはわかりません。

 netdom trust/add b/uo:b\admin/po:*/d:a/ud:a\admin/pd:*/oneside:trusting 
この外部のセキュリティを向上させるため信頼、セキュリティ識別子(SID)
フィルタリングは有効になっていますが、ユーザーが信頼できる
ドメインに移行され、SIDの履歴が保持されている場合は、これをオフにすることができます
 feature。
 
 SIDフィルタリングとそれをオフにする方法の詳細については、netdom trust/FilterSidsのヘルプ
を参照するか、ヘルプとサポートを参照してください。
 
リクエストはサポートされていません。
 
コマンドは正常に完了しませんでした。

Windows Server2008は/ FilterSIDsオプションをサポートしていないため、「あまり役に立たない」と言います。

どうすればこの信頼の作成を強制できますか?

編集:明確にするために、[コンピューターの構成\ Windowsの設定\セキュリティの設定\ローカルポリシー\セキュリティオプション] "ネットワークアクセス:許可することを確認しました匿名SID /名前変換」は、信頼の両側で有効になっています http://social.technet.Microsoft.com/Forums/en/winserverDS/thread/cc61fc25-3569-4413-bbfd-92390eb31118

5
nick3216

ドメイン「b」を信頼するように、ドメイン「a」で信頼関係の着信側を設定できます。

これは奇妙です。信頼がドメインで着信している場合、それはaが信頼されたドメインであることを意味するためです。すなわち:bはaを信頼します。

最初に信頼の発信部分を設定してみてください。

コマンドは、ドメインbでのみ信頼の発信(信頼)部分を作成しようとします。この場合、信頼パスワードを設定する必要があると思います。参照: http://technet.Microsoft.com/de-de/library/cc835085(WS.10).aspx

TRUSTING:信頼するドメインで信頼オブジェクトを作成または削除することを指定します。この値は、/ addまたは/ removeパラメーターを指定した場合にのみ有効です。/addまたは/ removeパラメーターを使用する場合は、/ passwordtパラメーターが必要です。

なぜ/ onesideを使用するのですか? netdomに信頼の両側を一度に作成させてみませんか?

また、両方のドメインに同じ名前のDCがないことを確認してください。そうしないと、信頼の検証が失敗します。

2
boston