event id 5719

Technik

Technik

Случайный прохожий
Здравствуйте коллеги, есть доменная сеть организации состоящая из 1 леса active directory (назовем ее для понимания CORP1). Локальная сеть соединена с сетью другой (не через инет), территориально рядом расположенной организации, которая в свою очередь тоже состоит из домена ad и леса (CORP2). Раньше оба домена функционировали на 2003 уровне и все это хозяйство администрировалось одними людьми между доменами были настроены доверительные отношения. Теперь сети разграничили, и админятся разными ит отделами и похоже доверительные отношения "упали". На контроллере домена CORP1 периодически бегает ошибка с event id 5719:
Компьютер не может установить безопасный сеанс связи с контроллером домена CORP2 по следующей причине: Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.
Дополнительные сведения
Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.
Нажмите, чтобы раскрыть...
Доверительные отношения сейчас снова стали нужны. Есть подозрения что проблема на сетевом уровне т.к. домены не пингуются между собой. Какие порты нужно открыть, что бы все заработало?
 
Чтобы межсетевой экран не препятствовал установлению безопасных каналов и доверительных отношений между доменами, на нем должны быть открыты перечисленные ниже порты. Поскольку по обе стороны межсетевого экрана могут находиться компьютеры, одновременно являющиеся как клиентом, так и сервером, необходимо, чтобы соответствующие порты были открыты в обе стороны.
image_79.jpg image_80.jpg
 
этого мало, надо что бы еще dns на обоих серверах был настроен корректно.

1 указать второй сервер как сервер условной пересылки на первом, для нужных зон;
2 указать первый сервер как сервер условной пересылки на втором, для нужных зон;
3 убрать дополнительные зоны и настройки передачи зон
4 убрать сервера пересылки для зон domain1.ru и domain2.ru со вкладки forwarders свойств dns серверов
5 проверить nslookup -type=srv _ldap._tcp.pdc._msdcs.domain1.com и nslookup -type=srv _ldap._tcp.pdc._msdcs.domain2.com на соответствующих dns серверах
 
Спасибо, с днс думаю не надо ничего делать - так как раньше то работало и настройки не менялись. Думаю дело чисто в портах на файерволле. Но все равно спасибо.
 
Для ответа нужно войти/зарегистрироваться
Назад
Верх