Active-Directory

Active Directory 2016 信任問題

  • January 26, 2021

我正在嘗試建立森林信任並使用 ADMT 使用這組指令遷移使用者;ADMT 說明。我在讓雙向信任發揮作用時遇到問題。域 A (testad.domain.org) 不允許我將使用者添加到域 B (target.migrate.org) 上的 builtin/Administrators 組。我可以選擇域 A 信任作為位置,但是當我去搜尋使用者時,它說找不到它。此外,當我嘗試在 AD Admin Center 中將域 A 添加為導航節點時,它說我沒有權限。我能夠毫無問題地驗證雙向信任。

我已經讀過防火牆可能是一個問題,所以我暫時在雙方都禁用了它,但仍然是相同的行為。

我在域 A 到域 B 上設置了單向傳入信任。我能夠將域 A 使用者添加到域 B 的管理員組,但係統提示我輸入域 A 上的使用者訪問信任的憑據。我還可以在域 B 的 AD 管理中心中將域 A 添加為導航節點。當我將信任轉換為雙向時,它再次中斷。

我能夠在兩個乾淨的域上完成整個指令集,所以我知道它們有效。此外,在通過信任兩種方式將使用者添加到內置/管理員組時,我從未被提示輸入憑據。

我在想域 A (testad.domain.org) 上有一些配置導致了這個問題。我似乎無法確定它會在哪裡。

我找到了原因,這是域之間的 UTC 時差。域之間的系統時間匹配,但時區不同。我從未見過會導致我深入探勘系統時間的錯誤。我必須在信任的雙方都設置共享,然後當我嘗試從 B 訪問域 A 上的共享時出現時鐘同步錯誤。如果您懷疑時鐘問題,請檢查時間和時區。

引用自:https://serverfault.com/questions/1050699