我正在尝试建立森林信任并使用 ADMT 使用这组指令迁移用户;ADMT 说明。我在让双向信任发挥作用时遇到问题。域 A (testad.domain.org) 不允许我将用户添加到域 B (target.migrate.org) 上的 builtin/Administrators 组。我可以选择域 A 信任作为位置,但是当我去搜索用户时,它说找不到它。此外,当我尝试在 AD Admin Center 中将域 A 添加为导航节点时,它说我没有权限。我能够毫无问题地验证双向信任。
我已经读过防火墙可能是一个问题,所以我暂时在双方都禁用了它,但仍然是相同的行为。
我在域 A 到域 B 上设置了单向传入信任。我能够将域 A 用户添加到域 B 的管理员组,但系统提示我输入域 A 上的用户访问信任的凭据。我还可以在域 B 的 AD 管理中心中将域 A 添加为导航节点。当我将信任转换为双向时,它再次中断。
我能够在两个干净的域上完成整个指令集,所以我知道它们有效。此外,在通过信任两种方式将用户添加到内置/管理员组时,我从未被提示输入凭据。
我在想域 A (testad.domain.org) 上有一些配置导致了这个问题。我似乎无法确定它会在哪里。
我找到了原因,这是域之间的 UTC 时差。域之间的系统时间匹配,但时区不同。我从未见过会导致我深入挖掘系统时间的错误。我必须在信任的双方都设置共享,然后当我尝试从 B 访问域 A 上的共享时出现时钟同步错误。如果您怀疑时钟问题,请检查时间和时区。