域信任建立失败-建立信任关系不能继续，原因是：账户已存在

Technorati Tags: 夏明亮，域信任，账户已存在

域信任建立失败：

问题描述：

A. com域和B.com域建立（双向）信任关系，过程中失败，提示“建立信任关系不能继续，原因是：账户已存在。”

初步排查：

A． 检查网络设置否联通

B． DNS互相解析是否有问题（做DNS转发）。在双方的DC上互相ping域名和域名的NetBIOS名，如果不同则暂时修改hosts文件。

C． 检查建立信任的账户是否是各自的域管理员。

解决办法：

以上操作均未解决问题。

但是在“初步检查的B步骤中发现问题”：ping b.com时返回的IP不是b.com中DC的IP，而是b.a.com的IP地址。

因此，猜想原因可能是a.com域中b.a.com计算机的netbios名和b.com的netbios名冲突（或者在建立信任关系的时候在a.com域中会生成b这个账户，域b.a.com账户重名）导致。

最终，删除a.com域中的b计算机账户，问题解决。

故障遐想：

1. 同一域中计算机账户名和用户账户名以及群组账户名能否重名？

答案：情况一：不同OU中

1.群组和用户账户显示名和登录名均不能重名。例如：存在群组group001，则用户账户的显示名和登录名均不能使用group001。

2.用户账户和群组账户二者不论显示名和登录名均可以和计算机账户名重名。例如：存在计算机账户Client01，则用户账户的显示名和登录名均可以使用Client01，群组的账户名也可以使用Client01。

3. 如果用户账户的登录名和显示名不一样，则计算机账户名可以和用户账户的登录名一样也可以和用户的显示名一样。例如：存在用户账户显示名为user01，登录名为11111；则计算机账户可以使用11111，也可以使用user01。

情况二：同一OU中

1. 群组和用户账户显示名和登录名均不能重名。例如：存在群组group001，则用户账户的显示名和登录名均不能使用group001。

2.用户账户的登录名可以和计算机账户的登录名相同，但是显示名不能相同。

3.群组账户名不能和计算机账户名相同。

4.如果用户账户的登录名和显示名不一样，则计算机账户名可以和用户账户的登录名一样。例如：存在用户账户显示名为user01，登录名为11111；则计算机账户可以使用11111，但是不能使用user01。

2. 建立信任关系后，在对方的域中谁否会建立以自己域名的Netbios名为名的账户？

答案：是。建立一个B$的用户账户（在a.com域中）。位置在cn=B$，cn=USER，dc=a，dc=com。