建立域信任关系后,查找位置中看不到另一个域的信息

http://social.microsoft.com/Forums/zh-CN/ec467b59-8245-4cc1-8608-12d93503313f


问题:

我有两个域,建立了双向信任关系,可当我要把一个域的用户添加到另一个域中的管理组时,发现在添加-〉查找位置列表中没有另一个域的名字,当然也就无法添加了。

为什么?如何解决?


解决:

原因很简单,我一直想把目标域的管理员加到源域的Domain Admins组,哈哈!这显然是不可能的!因为只能把全局组加入到本地组(即AGDLP原则)。



————————————————————

DNS也要能互相访问,A域建立B域的DNS辅助区域,在B域建立A域的辅助区域


————————————————————

你确认DNS是没有问题的?如果DNS没有问题

在两个域中分别使用

nslookup a.com

nslookup b.com


如果没有返回错误,那么DNS可以确认是没有问题的


如果DNS是正确的,我觉得你建立的信任关系有问题,建议建立林级别的双向可传递的信任关系.

只要在一个域内创建,另外一个域会自动生成.


————————————————————

我们建议您根据以下步骤进行排错:


1. 在2个域的域控制器上更新所有的系统补丁。


2. 请把DNS服务器只指向本域的PDC。确认2个域的DNS服务器已经建立了对方的辅助区域。


3. 请确认2台DC上的PRC服务为启动状态。点击“开始”——“运行”——输入“net start rpcss”。


4. 如果2个域被防火墙隔开的话,请您根据以下文章确保需要域信任所需要的端口被开放:


如何为域和信任关系配置防火墙

http://support.microsoft.com/?id=179442


如何配置与防火墙一起使用的 RPC 动态端口分配

http://support.microsoft.com/?id=154596