Есть две организации, у которых есть два независимых домена, необходимо что бы можно было давать доступ к ресурсам в сети пользователям из 2-х разных доменов. Как сделать это правильно?
то, есть надо настроить доверительные отношения между двумя независимыми контроллерами домена (win 2003 server)

Составлен примерный алгоритм объединения:
1. Создание в зоне прямого просмотра Новую зону с типом Дополнительная зона, тут вот сомнения, может указать зону заглушку?
2. В оснастке AD домены и доверия создать двусторонние доверительные отношения на контроллере одной организации и второй.

Никак не работает розолвинг, можно на пальцах обяснить как сделать?
я Делал так:
1. В оснастке DNS выбрал Зоны прямого просмотра;
2. Выбрал ТИП ЗОНЫ Дополнительная ;
3. Указал DNS-имя зоны(!!!) стороннего домена, для к рабочим станциям которого хочу получить доступ по DNS-именам;
4. Указал IP DNS серверов стороннего домена.

Но пинги по dns именам другого домена не проходят, по Ip - все пингуется без проблем

Константин Цветков,
Спасибо огромное Константин, все заработало, весь другой домен доступен по dns именам.

Рано обрадовался, я со своего домена могу пинговать по dns имени, а вот админ с другой наши машины не может. Хотя все делали одинаково. У них прокси - ISA, они легко пингуют нашу подсеть по IP, а вот по dns именам - нет.

Anatoly PodgoretskyА разрешения имен как сделано?
Разрешение на передачу зон?
Админ сторонней сети сделал для моего домена у себя - Разрешение передачи зон на любой сервер!

Константин ЦветковGeorge-IIIРано обрадовался, я со своего домена могу пинговать по dns имени, а вот админ с другой наши машины не может. Хотя все делали одинаково. У них прокси - ISA, они легко пингуют нашу подсеть по IP, а вот по dns именам - нет. "Бритва Оккама" — на ISA нужно разрешить передачу DNS-запросов.
И дурацкий вопрос: зачем вы связываете домены через ISA, который предназначен для защиты периметра локальных сетей?
я не могу ответить на этот вопрос, попробую уточнить у админа другого домена

Anatoly PodgoretskyЯ вроде четко написал
авторразрешения имен
Не могли бы вы объяснить, я что-то не пойму про что вы спрашиваете?

ЗЫ Может вы про то какие ip адреса будут обслуживать запросы по DNS, то прослушивание выполняется по всем IP адресам.

Константин ЦветковGeorge-IIIпропущено...

Не могли бы вы объяснить, я что-то не пойму про что вы спрашиваете?
На картинке закладка "Сервера имен". На той стороне для вашей зоны должны быть IP вашего DNS-сервера.
Админ говорит, что у него там пусто, а на вкладке общие есть мои dns сервера.

А вот у меня и на вкладке Общие есть его днс и на вкладке "Сервера имен" есть

Вот такая ошибка у него(!!!) в логах DNS



Где 192.168.111.31 - это мой мастер сервер Domain Controller+DNS server

Anatoly PodgoretskyGeorge-IIIпропущено...

Не могли бы вы объяснить, я что-то не пойму про что вы спрашиваете?

ЗЫ Может вы про то какие ip адреса будут обслуживать запросы по DNS, то прослушивание выполняется по всем IP адресам.
Как имя в ИП превращается?
Через обращение dns клиента к dns серверу. В ответ на запрос по dns имени сервер возвращает ip зарегистрированного в его базе хоста.
Вы про это спрашивали?
Или это просто риторический вопрос?

Судя по ошибке в логах стороннего DNS наш DNS не передает данные нашей зоны, но галочка о ресолвинге на нашей прямой зоне просмотра стоит. А у них на этой прямой зоне просмотра - красный крест.

Константин Цветков"Бритва Оккама" — на ISA нужно разрешить передачу DNS-запросов.
Админ уверяет, что полключение (openVPN) между сетями - в доверительно Внутренней зоне и типа в этом нет необходимости.

Anatoly PodgoretskyТак через ISA или через OpenVPN?
Это вообще то разные вещи, и зачем OpenVPN, когда ISA поддерживает VPN Site-to-site
На шлюзовой машине стоит ISA, которая раздает интернет для локальных машин, а openVPN - обеспечивать связь с сервером удаленного доступа, к которому подключаемся и мы и видим через настроенные маршруты друг друга. Наши подсети не связаны друг с другом напрямую, а через сторонний VPN сервер нашего координатора, который настраивает маршрутизацию для наших подсетей.

Константин ЦветковGeorge-IIIнашего координатора Вот и просите его не фильтровать пакеты между вашими сетями.
Так он не фильтрует, я вижу всю их подсеть и могу пропиговать по dns имени любую из машин стороннего домена, а вот с их стороны они не могут.
ЗЫ А не может касперский (версия для файл серверов) на моем контроллере домена запрещать передачу dns зон на сторонние домены?

То есть на моем dns сервере я настроил в зоне прямого просмотра их dns и со своей подсети могу видеть все их машины по dns именам, а вот они, делав все аналогично, не могут, то есть дополнительной зоне стоит красный крест и в логах ошибка, что мой (!!!) dns сервер не передает им нашу dns зону.

Константин ЦветковGeorge-IIIдополнительной зоне стоит красный крест и в логах ошибка, что мой (!!!) dns сервер не передает им нашу dns зону. Если вы это разрешили, то тогда (по логике вещей) этот пакет кто-то не пропускает. Кто? Ваш координатор, вторая сторона или есть ещё кандидаты?
Скорее всего данные не отдаем по запросу стороннему серверу мы, вчера безрезультатно пытался определить причину.
Дел в том, что у нас стоит на шлюзовой машине WinGate, который обладает своим dns сервером, который отключен. Хотя соединение OpenVPN стоит в доверительных и распознается WinGAte как внутренняя (доверенная) сеть может все же fireWall WinGate режет запросы?
А можно ли включить на WinGate DNS и настроить его, что бы он использовал базу DNS адресов с локальных, но мог их передавать по запросы внешней сети? И есть ли в этом смысл?

А можно ли как-то проверить приходят ли запросы на ресолвинг на мой DNS?

Anatoly Podgoretskynslookup
им можно посмотреть только со стороны другого домена, а я эотел бы увидеть что-то типа журнала на своем сервере, может мой сервер отбрасывает запросы по какой-то причине.

Все спасибо за участие, оказывается админ другого домена неправильно указал dns имя нашего домена в дополнительной зоне просмотра. Это я обнаружил после включения отладчика запросов к моему DNS. После пересоздания - все заработало в обе стороны.
Всем спасибо, пока на этом все!

Ребята, снова возникли небольшие проблемы. Дело в том, что в моем домене есть 2 контроллера домна со своими DNS и еще один контроллер в удаленном офисе, в другой подсети (!!!). Но он тоже является контроллером моего домена. Между всем контроллерами настроена репликация.
После настройки доверия между мои доменом и доменом другой организации - все работает прекрасно. НО ВОТ для третьего своего контроллера, который находится в другой подсети, я не могу использовать пользователей из другого домена для организации доступа к расшареным ресурсам этого третьего контроллера, то есть при на вкладке безопасность я могу выбирать сторонний домен, но при поиске пользователей - результат нулевой, хотя для первых двух - все прекрасно, можно настраивать и работать.
В чем может быть проблема???

Константин ЦветковGeorge-III но при поиске пользователей - результат нулевой Искать надо не в домене, а (как его там?) "весь каталог". Или напишите пользователя сами в формате DOMAIN\USER.
Попробовал, результат такой же, даже явно указанный пользователь, с указанием домена DOMAIN\USER не находится.

Вроде понял причину. Дело в том, что у меня для разных сегментов сети своего домена разные DNS, я создал зону просмотра для одного DNS. Между доменами настроена репликация, я думал что эта настройка среплицируется на все контроллеры, а нет. На других их нет.
ТО есть надо создавать зоны просмотра для всех DNS?
И в другом домене надо указывать все мои DNS сервера?

Константин ЦветковДа.
Спасибо, все получилось!

Ребята потребовалось сделать такую процедуру повторно, но с другим доменом.

Вот что сделано:
1. Создана в настройках нашего dns дополнительная зона просмотра выглядит она так: domanmain.
Это у них именно dns имя домена, то есть dns адреса машин ихней сети выглядят так:
pc1.domainmain
pc2.domainmain и так далее
2. то есть и они и мы можем пинговать их машины по этим адреса, но вот их домен по имени doaminmain я пинговать не могу(!!!);
3. Пытаюсь создать доверительное отношение для их домена, но при указании имени домена, а именно domainmain получаю сообщение, что указанное имя не является допустимым именем домена Windows. Я не хочу создавать доверия со сферой, повторяю, что указанное имя - имя домена windows. Далее мастер сообщает, что не может обратится к домену. Ну это наверное так и есть, так как я не могу пинговать dns имя domainmain.
Что можно предпринять в данной ситуации?

Проблема не решена, может у кого есть варианты?

Ребята пробую выполнить связывание доменов с ещё одной организацией, у них DNS server и Ad server - Windows 2008 R2 Std.
Резолвинг dns настроен, их домен весь пингуется по dns, но при попытке создать доверие - ошибка
"Локальный администратор безопасности не может получить подключение RPC к контроллеру домена имясервера.имядомена . Проверьте, что можно разрешить имя и что сервер доступен."
В чем причина ошибки?

Проблема решена - всем спасибо!