AD連接同步用戶和群組Two-Way Forest Trust 100% 成功?

Active Directory 同步用戶和群組.

國內公司新組建了新一台Active Directory 網域,打算跟香港的AD連接同步用戶好讓兩邊的人共享資源。
過程很簡單,只是有些細微的地方要留意,兩邊的firewall是否已經連通和port 已經放行。有時你弄來弄去都不成功,最後發現原來是firewall未設好! 不要白白浪費時間 。 我公司是用MPLS專線連接所以這方面比較單純,不用費力。

需要預先開放的port。

53 TCP/UDP DNS
88 TCP/UDP Kerberos
389 TCP/UDP LDAP
445 TCP SMB
636 TCP LDAP (SSL)
135 TCP Trust endpoint resolution

第一部份 DNS設定

作用是告訴SERVER去那裡找另一方的SERVER 。

  1. 打開DNS管理器

2. 展開域名,再右鍵Conditional Forwarders, 新增規則

3. 輸入對方域名和IP *此時可能會出現紅X 先不需理會

4. PING 對方域名檢驗是不是通。 留意對方SERVER 是不是有開放PING。


第二部份 建立Active Directory互信關係

AD連接同步用戶和群組

  1. 打開 Active Directory Domains and Trusts工具。
AD連接同步用戶

2. 展開域名,再右鍵Properties

3. 去Trusts分頁,點New Trust

AD連接同步用戶
AD連接同步用戶

4. 點 Next

AD連接同步用戶

5. 輸入另一方的電腦名稱

AD連接同步用戶

6. 選擇 Trust wita a Windows domain ,輸入對方AD名

7. 選External trust

AD連接同步用戶

8. 選擇Two-way

AD連接同步用戶

9. 選擇Both this domain and the specified domain

10. 輸入對方管理員用戶和密碼

11. 選Domain-wide authentication

12. 再選Domain-wide authentication

13. 看看自己AD名和對方名稱是否正確

14. 顯示成功

15. 再次確認對外confirm the outgoing trust.

16. 再次確認輸入

17. 完成設定,建議在另一方的DNS管理器中把本機都加入

ref : https://zh.wikipedia.org/wiki/Active_Directory

發佈留言