フォレスト間の信頼関係が結べない時にチェックすること

備忘的なまとめ。

 

環境

すでに以下の環境で信頼関係を構築済。

 

状況

ここで、ドメインBに、DC(Windows Server 2008 R2) を一台追加し、さらにFSMOを移動させたところ、信頼関係がうまくいかなくなった。

 

チェックしたこと

フォレストAとフォレストBのDNSにおいて、自分の前方参照ゾーンに相手先のゾーンが設定されているか

フォレストBのDNSにフォレストAの前方参照ゾーンが設定されていなかったため、「セカンダリ」としてゾーン転送させるように設定。

なお、セカンダリのゾーン転送ができれば、フォワーダーの設定は不要の模様。

 

フォレストAとフォレストBのDNSにおいて、前方参照ゾーンが正しい相手を向いているか

フォレストAのDNSの前方参照ゾーンにて、設定してあった相手先がドメインBの既存のDC(Windows Server 2003 R2)だった。

そのため、その前方参照ゾーンを削除後、新規に前方参照ゾーンを設定(向き先はWindows Server 2008 R2)

 

フォレストの信頼を追加する際、ウィザード中の「信頼の名前」画面で、「フォレスト名」(xxxx.local など)を入力しているか。

DCのFQDN名(DC名.xxx.local など)を入力しても、フォレストの信頼画面は出てこない。

 

以下は効果があったのか不明。
  • DNS > 前方参照ゾーン > ドメイン名 > _msdcs のプロパティにて、ネームサーバー名に過不足がないか。

 

結果

上記のことを実行したことで、無事にフォレストの信頼を結ぶことができた。