Active Directory Trust 2003 – 2008 r2 əlaqə problemi

Dostlar Salam, Biraz gənc olduğum üçün Active Directory Trust ilk dəfədir yaradıram. Deməli Side To Side vpn var, DNS də stub zonelar yaradilib, hər iki serverin dns recordlarını qarşı serverlərdə gorürəm. Serverin biri 2008 R2 virtual, digər server 2003 sp2 fizikidir. Trust yaratdim. amma mənə səkildəki erroru verir. Trust isleyir, amma birtərəfli. 2003 serverdən 2008 serverin active directorisine girə, istifadəçiləri problemsiz göre bilirəm. amma 2008dən 2003ə girə bilmirəm.Outgoing Trustda problem cixarır, onu da qeyd edimki, 2008 server ESX uzərində qurmusam. hec bir policy yoxdur və ona rahat qoşulmaq olur. Firewall olaraq Juniper Switchləri (Junos sistemleri dayanır) amma heç bir konfiqurasiya yoxdur. blok etmir. Trust birtərəfli işləyir. Sizcə niyə 2003 serverə qoşula bilmirəm. Bütün istifadəçilər ordadır . Çox xahiş edirəm IT professionallar nə köməkliyiniz var deyin. Artıq 2 gündür bu problemdən yatmıram))

trust2003

Səs: 0. Bəyənilsin Zəifdir

Baxılıb: 1306 dəfə

Cavablar ( 10 )

  1. Salamlar. Öncə 2 sualım olacaq .

    1) Trust əlaqəsi qurduğun zaman one-way yoxsa to-way seçmisiniz ?
    2) Hər iki server üzərində Forest Functional Levellər Server 2003 – mü ?

    Siz zəhmət olmasa ordakı çıxan erroru qeyd edə bilərsiniz. Facebook üzərində şəkildə ancaq görünür. Amma orda şifrə ilə əlaqədar xəta göstərir.

    • Elgüc onda 2008-də Forest Level 2008-dir.Məncə elə ona gördədir Group Policy ilə bir tərəf düzəldildi.İndi 2003-dən 2008 getmir.

      demeli 2008 serverinde forest ve domain functional leveller 2008 R2dir, 2003 serverinde ise her ikisi 2003dur. sizce buna goredir? maksimumdur. trust novu forest trust trastivie two waydir . Lvin qeyd edib amma duzelis edimki, 2003den 2008-e gedir, 2003 serverinde 2008in active direcrotysini gorurem ter temiz. amma 2008 de 2003u gore bilmirem. adi cixir gosterir , amma ne user acir ya nese. birdeki 2003 serverinde trust yaranir. amma 2008de men umumiyyetle trust yarada bilmirem. o deqe yazirki domain cannot be contacted.

      Error 0x80070005dir.

      birdeki menim side to side vpnim 2008 serverle secondary domain arasinda qurulub.ola bilerki primary isteyir?request birinci primary domaine gedir? vpn belke primary da qurulmaliydi error verirdiki primary domain cannot be contacted. zone transfer eledim. birde name servere qarsi serverin iplerin yazdim. o error itdi, amma indi umumiyyetle cannot be contacted yazir)))))))).onu da qeyd edimki, vpn var. her iki terefde vpn adapterler elave edilib, ve o ipler bir birlerini ping edir. amma men meselen 2008 serverinden 2003 serverinin daxili , lokal ipsini ping ede blimire. nese casib qalmisam))

      • Salam. Elvin bəy ondan qaynaqlanmaya bilər. Movzudan anladığım qədər Serverin biri bölgədə digəri mərkəzdə fəaliyyət gösətərir. Hər iki sererver üzərindən hər hansı bir port scan tool vastisəilə remote server portları scan olunmalıdır və aşağıda qeyd etdiyim bir çox port aralıqları görsənməlidir.

        Server 2003
        Client Port(s) Server Port Service 1024-65535/TCP 135/TCP RPC Endpoint Mapper 1024-65535/TCP 1024-65535/TCP RPC for LSA, SAM, Netlogon (*) 1024-65535/TCP/UDP 389/TCP/UDP LDAP 1024-65535/TCP 636/TCP LDAP SSL 1024-65535/TCP 3268/TCP LDAP GC 1024-65535/TCP 3269/TCP LDAP GC SSL 53,1024-65535/TCP/UDP 53/TCP/UDP DNS 1024-65535/TCP/UDP 88/TCP/UDP Kerberos 1024-65535/TCP 445/TCP SMB 1024-65535/TCP 1024-65535/TCP FRS RPC (*)

        Server 2008 /R2
        Client Port(s) Server Port Service 49152 -65535/UDP 123/UDP W32Time 49152 -65535/TCP 135/TCP RPC Endpoint Mapper 49152 -65535/TCP 464/TCP/UDP Kerberos password change 49152 -65535/TCP 49152-65535/TCP RPC for LSA, SAM, Netlogon (*) 49152 -65535/TCP/UDP 389/TCP/UDP LDAP 49152 -65535/TCP 636/TCP LDAP SSL 49152 -65535/TCP 3268/TCP LDAP GC 49152 -65535/TCP 3269/TCP LDAP GC SSL 53, 49152 -65535/TCP/UDP 53/TCP/UDP DNS 49152 -65535/TCP 49152 -65535/TCP FRS RPC (*) 49152 -65535/TCP/UDP 88/TCP/UDP Kerberos 49152 -65535/TCP/UDP 445/TCP SMB 49152 -65535/TCP 49152-65535/TCP DFSR RPC (*)

        Hər iki server üzərində nslookup əmrinin nəticləri doğru görsənməldir.
        Misal

        C:\Users\Administrator>nslookup technet.az
        Server: dc.yusifbeyli.com
        Address: 192.168.1.218

        Name: technet.az
        Address: 72.41.170.158

        Əlavə olaraq qeyd kimi bildirim Turst əlaqsi qurarkən dns və netbios name-lər fərqli olmalıdır.

        Rəsmi qaynaqlar

        How to configure a firewall for domains and trusts

        Domain and Forest Trust Tools and Settings

        Not : Cavab yazarkən siz mövzu daxil etdyiniz üçün indi oxuyb fikrlərinizi analiz etməyə çalışıram

        • Function Leveldən deyil. Sizin rəylərdən görürəm ki, şəbəkə və DNS-dən qaynaqlanan problem var. Zənnimcə öncə fikirlərnizi şəbəkə məsləsinə yönəltməlisinz. Yaxşı olar ki ilk addım üçün müvəqqəti olaraq aşağıdakı üsulları həyata keçirəsiniz və yaxud dəqiq test edəsiniz.

          1. Hər iki Server üzərində firevvaları söndürün.
          2. VPN Tunel üçün istifadə etdiyiniz Firevvallar üzərində hər iki serverə tam icazə təyin edin.
          3. Hər iki serverdə rdp, ping və s. imkanları hər iki tərəfdən test edin.

          Bu nəticələrdə müsbət cavab əldə etdikdən sonra. DNS və Trust məsələsinə baxmaq olar.

          Uğurlar

          • Oldu Elguc , cox sagol, fikirleriniz ucun. bunlari arasdiraram men. sadece onu deyimki, nslookup verende nslookup server 1 , deqiqliyi ile gorunur, eynile de nslookup server 2 , o da hemcinin qaynaqlalan ipleri gosterir. serverin yenisi genclikdedir, digeri nizami kucesinde. yeni baki daxilindedir. uzun konfiqurasiyalardan sonra trustin bir hissesini yaratmaga nail oldum. amma 2terefli lazim. sabah dediklerinizi yoxlyaram. 2003 serveri ( kohne) Asa uzerinde dayanir. yeni firewall olaraq ASa durur. belke de o blok edir. arasdiraram. tesekkur edirem.sadece emin olmaq istedim ki forest levveller mane toretmir, cunki raise olunursa geri qayitmir bildiyiniz kimi))))

          • Asa ilə bağlı çətinlik olsa qeyd edin. Məlumatınız olsun deyə qeyd edirəm .

            Server 2008 R2 üzərində Forest Functional Leveli Downgrade etmək mümkündür. Povvershell üzərindən həyata keçirə bilərisiniz.

            Rəsmi qaynaq : How To Revert Back or downgrade Windows Server 2008 R2 Forest and Domain functional Level

            Microsoft hər zaman izlənilməlidir. Nəyin necə olacağı bəlli olmaz .

            Uğurlar

          • Orxan, sən ən yaxşısı get soruş gör, bu trust nə üçün lazımdır?
            Elgüc müəllim, dünən Orxanla danışmışdıq.
            Onlarda deyilənə görə site-to-site VPN var.
            Şəbəkə hissəsini Orxan həyata keçirtmir.Bir tərəfdə ASA dayanır, digər tərəfdə Juniperdir shv etmirəmsə.Düşünürəm ki, problem hər hansı qurğuların müəyyən portları bağlamasına görə qaynaqlanır.
            Məncə qurğulardan tam icazələr verilməyib.

          • Elguc cox sagol , men acigi bunu bilmirdim. dedim getdi , birde bunu nece decrease edim. amma yeginki bunlardan deyil, cunki trust yarandi. forest leveller bele olan halda yarandisa demeli levelde problem yoxdur . :rolleyes:bugun portscan ederem, arasdiraram gorum. basima ne gelir. basa dusmurem, butun bizde komputerler MCBook produr, o da domaine qosulmur. neye lazimdir bu catmir mene. 1-2 windows os var. gul kimi sifirdan qurardim ADDS qurtardi getdi. bir iki user ifse.neyse.

          • Fərhad bəyin və sizin rəylərdən sonra azda olsa aydın oldu ki, bu tapşırıq kimi qoyulub. Lakin buna baxmayaraq siz yenədə problemin mənbəyini tapmağa çalışın. Hər iki Firewall üzərində inbound və outbound rulları analiz etməyə ehtiyac var. Ola bilsin tək tərəfli access verilib. Dedyim kimi öncə üstəki 3 addımı nəzrdən keçirmək lazımdır. Sonra turst məsəlsini müzakirə etmək mümkündür.

          • Usaqlar alindi))))))))))))))) cox sagolun her biriniz, iannirsiz artiq teslim olmusdum, sonuncu defe eledim , Elguc qardasin dediklerin yoxladim, Elvin sagolun qosuldu xeyli baxdi. axirda bezi deyisiklikler Dwordler elave edim, Stub yox Secondary zonelar yaradandan sonra netice elde etdim 🙂 Yasasin TechNet.Az

Cavab yazın