安全信道信任验证失败

Question

处理两个域之间的信任设置问题，在两个域之间设置多个防火墙，并在两个服务器之间建立针孔路由。

newdc.newdomain.com是一个全新领域的2012年服务器。admt.olddomain.local是现有域中的一个2008R2服务器，有两个现有的域控制器dc1.olddomain.local和dc2.olddomain.local，正如您可能已经猜到的，这个服务器将用于Active迁移工具(ADMT)。

有防火墙规则，允许newdc.newdomain.com只与admt.olddomain.local进行双向对话。所有DNS测试都很好，双方的DCDIAG也是一样。

在admt.olddomain.local上创建信任时，我得到了以下错误

传入的信任已被验证。它已经就位，而且很活跃。传出信任的验证失败，错误如下(S)：信任密码验证测试不确定。将尝试进行安全信道重置。安全通道重置失败，错误1311:目前没有可用的登录服务器服务登录请求。

然而，信托是在这两个领域中创建的，传入和传出。在newdc.newdomain.com上验证信任(两种方式)都是成功的。但是，当我试图验证来自服务器admt.olddomain.local的信任时，我会得到以下错误：

Active Directory域控制器\dc1.olddomain.local of olddomain.local的安全通道(SC)重置为域newdomain.com失败:当前没有可用的登录服务器为登录请求提供服务。传入的信任已成功验证。

我可以在这里看到这个问题，尽管我正在执行来自admt.olddomain.local的验证，但实际上它试图检查来自dc1.olddomain.local的安全通道，该通道无法与服务器newdc.newdomain.com通信，但这真的是一个问题吗？是否有任何方法迫使验证从admt.olddomain.local进行？我们能在这个设置中使用ADMT吗？(我们将很快试用一个测试副本，看看在当前的设置中会发生什么)

最后，我们将使用相同的网络地址和防火墙配置/网络路由将此admt.olddomain.local服务器重新构建为newdomain.com的只读域控制器，并且它将是唯一能够与dc01.olddomain.local和dc02.olddomain.local通信的机器，但由于newdc.newdomain.com不能直接路由到dc02 01/dc02 02来验证信任，我们会遇到同样的问题吗？

谢谢您对此的任何投入！

Answer 1

这就是我们最后要做的，重建AD结构，使newdomain.com在olddomain.com AD服务器的同一网络上有一个ADMT/DC服务器，然后将FSMO角色转移到新的域服务器，这样两个域就可以在FSMO主程序之间进行肮脏的对话，而不需要所有中间防火墙的干扰。如果您已经为DNS、防火墙等解决了所有问题，并且仍然会出现错误，那么就开始看看FSMO角色母版是否可以直接相互交谈！