доступ к AOS 4.0 из другого домена

[Omeo]

День добрый
Возникла задача перенести AOS4.0(SP2) в другой домен и пока оставить пользователей в старом домене :
Домен А, в нем А\user1
Домен B, в нем В\user2

AOS перенесен из А в В

При попытке подключения пользователем А\user1 с компа в домене А: Failed to establish connection
При попытке подключения пользователем А\user1 с компа в домене B: все ок
При попытке подключения пользователем B\user2 с компа в домене А: Failed to establish connection
При попытке подключения пользователем B\user2 с компа в домене B: все ок

С компа в домене А новый AOS пингуется, telnet aos 2712 нормально отрабатывает и что то ожидает (подключение есть)

Подскажите в какую сторону копать для решения проблемы?

[BOAL]

А как именно заведены пользователи?
С указанием двух доменов (и присвоением разнодоменных SID номером)?
Авторизация может не проходить, тк с компа в домене А у пользователя присваивается SID, который не указан в АХ

проверить можно паспортом записи в АХ (посмотреть номера SID) и whoami /user или утилитой getSID на компе в домена А

Так же копать в политики настройки компов (что видят они по сети).
Проход пинга еще не говорит, что у пользователя есть права работы. Это просто общая сеть.
Условно, в этой сети может быть и недоменные пользователи вообще, у них тогда тоже может быть прохода пинга, но в АХ они войдут только если ручками принудительно пробить локальный SID

К информации (если неизвестно уже):
вся авторизация в АХ идет по SID, указание имени домена и пользователя нужно только ради того, чтоб по галке Включить этот SID присвоился.
Если набить туда номера ручками (и пофиг на домен и имя пользователя), то все работает без проблем.
То есть можно вообще пускать недоменных пользователей (аля режим АХ3.0) или неродственных доменов, главное, чтоб сеть была (и пинги проходили )

[Omeo]

Цитата:

Сообщение от BOAL

А как именно заведены пользователи?
С указанием двух доменов (и присвоением разнодоменных SID номером)?
Авторизация может не проходить, тк с компа в домене А у пользователя присваивается SID, который не указан в АХ

да, пользователи заведены с указанием двух доменов
так как пока идет тестирование то все пользователи из домена A пришли вместе с бэкапом и там все старые SIDы, то что

Цитата:

Сообщение от Omeo

При попытке подключения пользователем А\user1 с компа в домене B: все ок

на мой взгляд подтверждает что SIDы в порядке

пользователь B\user2 - тот самый пользователь под которым ставился AOS в новом домене В, он единственный пользователь из домена B

[gl00mie]

Цитата:

Сообщение от Omeo

AOS перенесен из А в В
При попытке подключения пользователем А\user1 с компа в домене А: Failed to establish connection
При попытке подключения пользователем А\user1 с компа в домене B: все ок
При попытке подключения пользователем B\user2 с компа в домене А: Failed to establish connection
При попытке подключения пользователем B\user2 с компа в домене B: все ок
С компа в домене А новый AOS пингуется, telnet aos 2712 нормально отрабатывает и что то ожидает (подключение есть)

А по какому имени АОС пингуется, netbios-ному или по FQDN? Стесняюсь спросить: на компах в домене А DNS-домен B прописан ли в настройках TCP/IP в доменных суффиксах? Из моего скромного опыта: нужно, чтобы АОС находился по netbios-ному имени, а не только по FQDN.

PS. Последнее справедливо для кластера с балансировкой нагрузки; если у вас один-единственный АОС, то его хост можно указать по FQDN - тогда подключение из другого домена должно работать и без прописывания домена B в настройках доменных суффиксов.

[Omeo]

Цитата:

Сообщение от gl00mie

А по какому имени АОС пингуется, netbios-ному или по FQDN? Стесняюсь спросить: на компах в домене А DNS-домен B прописан ли в настройках TCP/IP в доменных суффиксах? Из моего скромного опыта: нужно, чтобы АОС находился по netbios-ному имени, а не только по FQDN.

PS. Последнее справедливо для кластера с балансировкой нагрузки; если у вас один-единственный АОС, то его хост можно указать по FQDN - тогда подключение из другого домена должно работать и без прописывания домена B в настройках доменных суффиксов.

вообще AOS один но удалось починить используя вашу подсказку

AOS пинговался только по FQDN
админов домена сейчас нет, сам сделал следующее : на компе из домена А в файле hosts прописал соответствие ip - имя = заработало !

[gl00mie]

Еще можно пойти в настройки TPC/IP сетевухи "на компе из домена А" и явно прописать DNS-суффиксы (раз у вас есть права играться с файлом hosts). Ну и админам сказать, чтобы настройки DHCP подправили...