Принцип действия отношений доверия для лесов ресурсов в доменных службах azure active directory

Утилита Netdom

Утилита Netdom включена в состав Windows Server начиная с 2008 версии, а на ПК пользователей может быть установлена из RSAT (Remote Server Administration Tools). Чтобы восстанвить доверительные отношения, нужно войти в систему под локальным администратором (набрав “.Administrator” на экране входа в систему) и выполнить такую команду:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

• Server – имя любого доступного контроллера домена
• UserD – имя пользователя с правами администратора домена или Full control на OU с учетной записью компьютера
• PasswordD – пароль пользователя

Netdom resetpwd /Server:sam-dc01 /UserD:aapetrov /PasswordD:Pa@@w0rd

Службы федерации Active Directory

Active Directory запускает ряд служб, которые аутентифицировать различные аспекты вашей системы или помочь сплоченности между доменами. Одним из примеров услуги является Службы сертификатов Active Directory (AD CS), которая контролирует сертификаты открытых ключей для систем шифрования, таких как безопасность транспортного уровня. Служба, которая имеет отношение к доменам и лесам, является Службы федерации Active Directory (AD FS).

AD FS — это система единого входа, которая распространяет аутентификацию вашей сети на службы, управляемые другими организациями. Примерами систем, которые могут быть включены в этот сервис, являются средства Google G-Suite и Office 365..

система единого входа обменивается токенами аутентификации между вашей реализацией AD и удаленной службой, поэтому, как только пользователи войдут в вашу сеть, им не нужно будет снова входить в участвующую удаленную службу единого входа.

Настройка DNS

Для построения доверия необходимо, чтобы контроллеры домена видели друг друга. Все запросы на поиск узлов в AD выполняются через службы доменных имен. Таким образом, в нашем примере, мы должны сконфигурировать условную пересылку на DNS обоих доменов

Также важно, чтобы между контроллерами была сетевая доступность — по сети они должны видеть друг друга

На DNS домена primary.local

Открываем Диспетчер серверов — кликаем по Средства — DNS:

В открывшемся окне выбираем нужный сервер, если их несколько — раскрываем его — кликаем правой кнопкой мыши по Серверы условной пересылки — Создать сервер условной пересылки:

В «DNS-домен» пишем второй домен (в нашем случае, secondary.local), затем задаем его IP-адрес, ставим галочку Сохранять условный сервер пересылки в Active Directory и реплицировать ее следующим образом — выбираем Все DNS-серверы в этом домене:

Открываем командную строку и вводим команду:

nslookup secondary.local

Мы должны получить ответ на подобие:

Server:  localhost
Address:  127.0.0.1
Non-authoritative answer:
Name:    secondary.local
Address:  192.168.0.16

На DNS домена secondary.local

Действия, которые делаем на втором сервере DNS, во многом, аналогичны.

Открываем Диспетчер серверов — Средства — DNS:

Раскрываем сервер — Серверы условной пересылки — Создать сервер условной пересылки:

На данном шаге небольшие изменения. В «DNS-домен» пишем первый домен (primary.local), затем задаем его IP-адрес (192.168.0.15), ставим галочку Сохранять условный сервер пересылки в Active Directory и реплицивовать ее следующим образом — выбираем Все DNS-серверы в этом домене:

В командной строке второго сервера проверяем настройку:

nslookup primary.local

Мы должны получить ответ на подобие:

Server:  localhost
Address:  127.0.0.1
Non-authoritative answer:
Name:    primary.local
Address:  192.168.0.15

Проверка и восстановление доверительного отношения компьютера с доменом с помощью PowerShell

Если вы не можете аутентифицироваться на компьютере под доменной учетной записью с ошибкой “Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом”, вам нужно войти на компьютер под локальной учетной записью с правами администратора. Также можно отключить сетевой кабель и авторизоваться на компьютере под доменной учетной записью, которая недавно заходила на этот компьютер, с помощью кэшированных учетных данных (Cached Credentials).

Откройте консоль PowerShell и с помощью командлета Test-ComputerSecureChannel проверьте соответствует ли локальный пароль компьютера паролю, хранящемуся в AD.

Test-ComputerSecureChannel –verbose

1	Test-ComputerSecureChannel–verbose

Если пароли не совпадают и компьютер не может установить доверительные отношения с доменом, команда вернет значение False – 

The Secure channel between the local computer and the domain winitpro.ru is broken

1	The Secure channel between the local computer andthe domain winitpro.ru isbroken

Чтобы принудительно сбросить пароль учётной записи данного компьютера в AD, нужно выполнить команду:

Test-ComputerSecureChannel –Repair –Credential (Get-Credential)

1	Test-ComputerSecureChannel–Repair–Credential(Get-Credential)

Для выполнения операции сброса пароля нужно указать учетную запись и пароль пользователя, у которого достаточно полномочий на сброс пароля учетной записи компьютера. Этому пользователя должны быть делегированы права на компьютеры в Active Directory (можно использовать и члена группы Domain Admins, но это не комильфо).

После этого нужно еще раз выполнить команду 

Test-ComputerSecureChannel

1	Test-ComputerSecureChannel

 и убедится, что она возвращает True (

The Secure channel between the local computer and the domain winitpro.ru is in good condition

1	The Secure channel between the local computer andthe domain winitpro.ru isingood condition

).

Итак, пароль компьютера сброшен без перезагрузки и без ручного перевоода в домен. Теперь вы можете аутентифицировать на компьютере под доменной учетной записью.Также для принудительной смены пароля можно использовать командлет Reset-ComputerMachinePassword.

Reset-ComputerMachinePassword -Server dc01.corp.winitpro.ru -Credential corp\domain_admin

1	Reset-ComputerMachinePassword-Server dc01.corp.winitpro.ru-Credential corp\domain_admin

dc01.corp.winitpro.ru

1	dc01.corp.winitpro.ru

 – имя ближайшего DC, на котором нужно сменить пароль компьютера.

Имеет смысл сбрасывать пароль компьютера каждый раз, перед тем как вы создаете снапшот виртуальной машины или точку восстановления компьютера. Это упростит вам жизнь при откате к предыдущему состоянию компьютера.

Если у вас есть среда разработки или тестирования, где приходится часто восстанавливать предыдущее состояние ВМ из снапшотов, возможно стоит с помощью GPO точечно отключить смену пароля в домене для таких компьютеров. Для этого используется политика Domain member: Disable machine account password changes из секции Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options. Можно нацелить политики на OU с тестовыми компьютерам или воспользоваться WMI фильтрами GPO.

С помощью командлета Get-ADComputer (из модуля Active Directory Windows PowerShell) можно проверить время последней смены пароля компьютера в AD:

Get-ADComputer –Identity spb-pc22121 -Properties PasswordLastSet

1	Get-ADComputer–Identity spb-pc22121-Properties PasswordLastSet

Комадлеты Test-ComputerSecureChannel и Reset-ComputerMachinePassword доступны, начиная с версии PowerShell 3.0. В Windows 7/2008 R2 придется обновить версию PoSh.

Также можно проверить наличие безопасного канала между компьютером и DC командой:

nltest /sc_verify:corp.winitpro.ru

1	nltest sc_verifycorp.winitpro.ru

Следующие строки подтверждают, что доверительные отношения были успешно восстановлены:

Trusted DC Connection Status Status = 0 0x0 NERR_Success
Trust Verification Status = 0 0x0 NERR_Success

1 2	Trusted DC Connection Status Status=0x0NERR_Success Trust Verification Status=0x0NERR_Success

Как соотносятся Active Directory, домен и контроллер домена

Главной единицей, в которой происходят основные процессы по управлению пользователями, компьютерами, оборудованием, процессами и прочим является домен. Ядром домена является контроллер домена, который, собственно, и отвечает за управление перечисленными элементами. Поэтому при изучении Active Directory фокус направлен на объекты, которыми управляет контроллер домена. Наиболее часто используемые объекты:

• пользователи
• компьютеры
• группы
• периферийные устройства
• сетевые службы

Каждый объект уникально идентифицируется своим именем и атрибутами.

Эти объекты могут быть сгруппированы в организационные подразделения (OU) по любому количеству логических или бизнес-потребностей. Затем объекты групповой политики (GPO) можно связать с организационным подразделением, чтобы централизованно настроить различных пользователей или компьютеры в организации.

Думается, что без особых объяснений понятно, что такое тип объектов «пользователи», «компьютеры» и прочее. И именно с ними происходит большая часть работы. Но Active Directory не ограничивается только объектами домена, в зависимости от потребностей, системный администратор может оперировать несколькими доменами, либо для одного домена создать несколько контроллеров домена. Домены могут находиться в самых разнообразных связях между собой: от полной изоляции до полного доверия со всеми промежуточными вариантами. Для настройки отношений используются лес, дерево и другие элементы, на которых системный администратор, работающий с единственным доменом, не фокусируется, даже если в его домене тысячи компьютеров и пользователей. По этой причине мы начнём со знакомства с объектами домена, а затем перейдём к структуре Active Directory в целом, описывающей взаимосвязь между несколькими доменами и контроллерами доменов. В дальнейшем некоторые из этих вопросов будут изучены в отдельных главах.

Что не решит проблему

При возникновении подобных проблем в беспроводной сети пользователи испытывают практически всё, что только могут придумать. Некоторые такие «решения» не только не помогут, но способны даже навредить не только собственной, но и соседним сетям. Рассмотрим наиболее яркие примеры.

Включение WEP/Использование аутентификации

Конечно, методы шифрования, такие как WEP и WPA, а также использование методов аутентификации 802.1x, не разрешат подключиться к вашей сети всем желающим. Но пытаться они могут сколько угодно. Подобные попытки подключения, особенно если количество «чужих» машин велико, могут существенно снизить скорость работы всей сети, что наиболее заметно в медленных сетях 802.11b.

С другой стороны, шифрование, на самом деле, ничего не делает с радиосигналом, поскольку при шифровании лишь изменяются передаваемые данные. Мы рекомендуем использовать шифрование WPA (или WEP, если WPA не доступно) только для усиления безопасности — оно никак не решает проблему большого количества одновременно работающих устройств на небольшой территории.

Отключение широковещания SSID

Хотя отключение широковещания SSID вашей сети не помешает попыткам ваших клиентов подключиться к другим сетям, чужие клиенты будут оставаться в пределах своих сетей. Но и здесь не мешает сменить SSID, установленный по умолчанию, — если соседский ноутбук успел заметить вашу сеть и сохранить её в списке предпочитаемых сетей, то он будет продолжать искать её при установке подключения.

Выбор режима только-11g

Обладатели беспроводного оборудования стандарта 8ф02.11g могут изменять ещё и некоторые параметры, которые различаются в разных продуктах. Некоторые ТД стандарта 11g позволяют отключать механизм «защиты» 802.11b, который отвечает за взаимодействие медленных клиентов 11b с быстрыми точками доступа 11g. Отключение этого механизма схоже с включением WEP или WPA, когда радиосигнал (и помехи) никуда не исчезают. Однако отключение механизма защиты может создать даже больше проблем для сети, чем включение WEP или WPA.

Вообще, пропускная способность зависит от множества факторов, но отключение механизма защиты отключает также взаимодействие между оборудованием 11b и 11g. При этом появляются коллизии и возрастает вероятность того, что данные придётся передавать заново, что снижает пропускную способность сети.

Усиление сигнала

Усиление сигнала решает, в лучшем случае, половину проблем, оно лишь помогает клиенту «лучше слышать» передаваемые точкой доступа данные. Прибегать к подобной мере следует только в крайнем случае, когда ничего другое уже не помогает. Решение собственных проблем путём создания проблем для окружающих, как нам кажется, не достойно истинных джентльменов.

Использование Super-G

Super-G использует достаточно противоречивую технологию объединения каналов, которая может, в ряде случаев, стать причиной проблем в соседних сетях. Мы относим использование Super-G к той же категории, что и усиление сигнала, — то есть это не панацея, и может причинить дополнительные проблемы вместо того, чтобы решить существующие.

Как заставить адаптер не менять точку доступа

К счастью, есть два способа, которые позволяют удерживать подключение беспроводных клиентов к той точке доступа, к которой нужно. Первый — сменить SSID сети на другой, отличный от используемого соседними сетями. Стоит остановить выбор на оригинальном имени, которое никак не соотносится с названием или расположением. В имени могут использоваться буквы, цифры и символы подчёркивания — использование пробелов недопустимо.

Второй способ — если вы используете WinXP — заключается в очистке списка предпочитаемых сетей (Preferred Network). Убедитесь, что подключение к другим сетям запрещено. Значок адаптера можно увидеть в окне Сетевые Подключения/Network Connections (Start > Settings > Network Connections). Щёлкнув правой кнопкой по значку и выбрав пункт Свойства/Properties, вы вызовите окно.

В верхней части окна отображаются доступные сети или те сети, которые обнаружены в данный момент, в нижней части окна показан список предпочитаемых сетей. Нужно удалить из него все сети, кроме вашей. Затем, нажав кнопку Дополнительно/Advanced, в появившемся окне, следует убрать флажок из пункта Автоматически подключаться… (Automatically connect to non-preferred networks).

В результате карта не будет пытаться подключаться к сетям Ad Hoc (вряд ли они будут по соседству) — но что более важно, карта не будет автоматически пытаться соединиться с новыми беспроводными сетями, появляющимися в зоне действия. Если вы не используете WinXP, или применяете клиентскую утилиту адаптера, не забудьте проверить наличие подобного пункта и, по возможности, сделать то же самое

Некоторые утилиты используют профили подключения, в которых сохраняются настройки подключения к различным беспроводным сетям, — при этом профили выбираются только вручную. В этом случае вам не нужно очищать список предпочитаемых сетей, но, возможно, потребуется удаление ненужных профилей, если они автоматически создадутся при обнаружении новых сетей

Если вы не используете WinXP, или применяете клиентскую утилиту адаптера, не забудьте проверить наличие подобного пункта и, по возможности, сделать то же самое. Некоторые утилиты используют профили подключения, в которых сохраняются настройки подключения к различным беспроводным сетям, — при этом профили выбираются только вручную. В этом случае вам не нужно очищать список предпочитаемых сетей, но, возможно, потребуется удаление ненужных профилей, если они автоматически создадутся при обнаружении новых сетей.

Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом

Как проявляется проблема: пользователь пытается авторизоваться на рабочей станции или сервере под своей учетной запись и после ввода пароля появляется ошибка:

The trust relationship between this workstation and the primary domain failed.

1	The trust relationship between thisworkstation andthe primary domain failed.

Не удалось восстановить доверительные отношения между рабочей станцией и доменом.

1	Неудалосьвосстановитьдоверительныеотношениямеждурабочейстанциейидоменом.

Также ошибка может выглядеть так:

The security database on the server does not have a computer account for this workstation trust relationship.

1	The security database on the server does nothaveacomputer account forthisworkstation trust relationship.

База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией.

1	Базаданныхдиспетчераучетныхзаписейнасерверенесодержитзаписидлярегистрациикомпьютерачерездоверительныеотношениясэтойрабочейстанцией.

Определение леса

Чтобы иметь лес, вам нужно иметь несколько доменных деревьев. Этот сценарий может существовать, если вы хотите иметь разные разрешения для разных областей вашей сети. Таким образом, у вас может быть отдельный домен для каждого сайта, или вы можете захотеть оставить разрешения для определенных ресурсов или служб в вашей сети полностью отделенными от обычной системы сетевой аутентификации. Таким образом, домены могут перекрываться географически.

Сеть вашей компании может содержать много контроллеров домена и некоторые из них будут содержать одну и ту же базу данных, в то время как другие содержат разные разрешения.

Представьте, что ваша компания предоставляет услуги для пользователей в своей сети и хочет держите эти разрешения отдельно из ресурсов, доступных сотрудникам. Это создаст два отдельных домена. Если вы также используете Exchange Server для системы электронной почты вашей компании, у вас будет другой домен AD.

Хотя система электронной почты персонала, вероятно, будет иметь такое же доменное имя, что и веб-сайт, вы НЕ ДОЛЖНЫ хранить все домены с одинаковым корнем домена в одном и том же дереве. Таким образом, система электронной почты может иметь дерево одного домена, а пользовательская сеть может иметь отдельное дерево одного домена. Итак, в этом сценарии вы имеете дело с тремя отдельными доменами, которые образуют лес.

Домен Exchange вполне может иметь только один контроллер домена, потому что реальный сервер для системы электронной почты находится только в одном месте, и поэтому ему нужен только один доступ к базе данных аутентификации. Пользовательский домен может находиться только в одном месте — на сервере шлюза. тем не мение, Вы могли бы реализовать экземпляр контроллера домена вашего персонала для каждого из сайтов вашей компании. Таким образом, у вас может быть семь контроллеров домена, пять для домена персонала, один для домена пользователя и один для домена электронной почты.

Возможно, вы захотите разделить внутреннюю сеть на подразделы по офисным функциям, поэтому у вас будет раздел с учетными записями и отдел продаж без возможности взаимодействия. Это будут два дочерних домена родительского домена персонала, образующие дерево.

Одна из причин отделять сеть персонала от сети пользователя — это безопасность. Необходимость конфиденциальности во внутренней системе может даже распространяться на создание отдельного доменного имени для этой сети сотрудников, который не должен быть доведен до сведения широкой общественности. Этот шаг заставляет создавать отдельное дерево, потому что вы не можете иметь разные доменные имена, включенные в одно дерево. Хотя система электронной почты и система доступа пользователей имеют только один домен каждый, они также представляют дерево. Точно так же, если вы решили создать новый сайт с другое доменное имя, это не может быть объединено с администрацией первого сайта, потому что у него другое доменное имя.

Разделение домена персонала для создания дочерних доменов требует большего количества контроллеров домена. Вместо одного контроллера домена на сайт для сети сотрудников, теперь у вас есть три на сайт, что составляет 15 на пять сайтов.

Эти 15 штатных контроллеров домена должны быть реплицированы и скоординированы с отношениями древовидной структуры между тремя исходными доменами, сохраненными на каждом из пяти сайтов. Каждый из двух других контроллеров домена отличается и не будет частью процедур репликации домена персонала. На участке есть три дерева и один лес.

Как видно из этого относительно простого примера, сложность управления доменами, деревьями и лесами может быстро стать неуправляемой без комплексного инструмента мониторинга..

Вспомогательные службы и средства

Для поддержки отношений доверия и проверки подлинности используются дополнительные функции и средства управления.

Вход в сеть

Служба сетевого входа в систему поддерживает установку защищенного канала с компьютера с ОС Windows к контроллеру домена. Она также используется в следующих процессах, связанных с отношениями доверия:

• Настройка доверия и управление им. Служба сетевого входа в систему помогает поддерживать пароли отношения доверия в актуальном состоянии, собирает сведения о доверии и проверяет отношения доверия путем взаимодействия с процессом локальной системы безопасности и объектом доверенного домена.

  Для отношений доверия лесов сведения о доверии содержат запись о доверии лесов (FTInfo), включающую в себя набор пространств имен, на управление которыми с помощью утверждений претендует доверенный лес, с добавлением поля, которое указывает, доверяет ли доверяющий лес каждому такому утверждению.

• Проверка подлинности. При ее выполнении учетные данные пользователя предоставляются контроллеру домена по защищенному каналу, а в ответ возвращаются идентификаторы SID домена и права пользователя.

• Определение расположения контроллера домена. Этот процесс помогает найти контроллеры домена в одном или нескольких доменах или определить их расположение.

• Сквозная проверка. Учетные данные пользователей в других доменах обрабатываются функцией сетевого входа. Если доверяющему домену необходимо проверить удостоверение пользователя, он передает в доверенный домен учетные данные этого пользователя для проверки с помощью функции сетевого входа в систему.

• Проверка сертификата атрибутов привилегий (PAC). Когда серверу, использующему протокол Kerberos для проверки подлинности, необходимо проверить сертификат атрибутов привилегий в билете службы, он отправляет этот сертификат по защищенному каналу на контроллер домена для проверки.

Локальная система безопасности

Локальная система безопасности — это защищенная подсистема, которая хранит информацию обо всех аспектах локальной безопасности в системе. В совокупности она называется локальной политикой безопасности. Локальная система безопасности предоставляет различные службы для преобразования имен и идентификаторов.

Подсистема безопасности локальной системы безопасности предоставляет службы для проверки доступа к объектам, проверки прав пользователей и создания сообщений аудита как в режиме ядра, так и в пользовательском режиме. Локальная система безопасности отвечает за проверку допустимости всех билетов сеансов, представленных службами в доверенных или недоверенных доменах.

Средства управления

Для предоставления, создания, удаления или изменения отношений доверия администраторы могут использовать домены Active Directory и отношения доверия, Netdom и Nltest.

• Домены Active Directory и отношения доверия — это консоль управления (MMC), которую можно использовать для администрирования отношений доверия доменов, уровней работы домена и леса, а также суффиксов имени субъекта-пользователя.
• Программы командной строки Netdom и Nltest можно использовать для поиска, просмотра и создания отношений доверия и управления ими. Эти средства напрямую взаимодействуют с Локальной системой безопасности на контроллере домена.

Ошибка «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом»

При попытке подключения к домену на своей рабочей станции пользователь может столкнуться с сообщением о невозможности установки доверительных отношений между такой станцией и доменом. Обычно это связано с несоответствием вариантов паролей, хранящихся на рабочей станции и домене, требуя вмешательства администратора для нормализации работы указанных сетевых компонентов.

Причины возникшей проблемы При введении какого-либо ПК в домен «Active Directory» для такого ПК создаётся отдельная учётная запись со специализированным, хранящимся на данном домене, паролем. Затем между данным ПК и доменом устанавливаются «доверительные отношения». То есть безопасный запароленный канал, обмен данными в котором происходит в соответствии с настройками безопасности, установленными администратором домена. Пароль для такой рабочей станции на домене действует 30 дней, по истечению которых автоматически изменяется на основании настроек доменной политики. Если рабочая станция пытается подключиться к домену под неправильным паролем, то «доверительные отношения» между станцией и доменом разрываются, и пользователь получает сообщение о неудачной установке доверительных отношений на своём ПК. Классическими причинами появления такого неправильного пароля могут быть восстановление пользовательского PC из ранее созданного образа, снепшота виртуальной машины и другие релевантные факторы.

Как восстановить доверительные отношения между рабочей станцией и доменом Рассмотрим несколько способов исправить проблему отсутствия доверительных отношений между рабочей станцией и доменом

Способ №1. Выход из домена с последующим входом Наиболее простым способом решения проблемы «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» (рекомендуемым, в частности, компанией «Макрософт») является выход компьютера (или «рабочей станции») из домена, с его последующим подключением к данному домену. Выполните следующее:

1. Войдите в систему (ОС Виндовс) под учёткой локального администратора;
2. Наведите курсор на иконку «Мой компьютер» на рабочем столе, нажмите ПКМ, выберите «Свойства»;
3. В открывшемся окне рядом с названием ПК нажмите на кнопку «Изменить» (Изменить параметры);
4. Откроется окно, где на вкладке «Имя компьютера» нажмите внизу на кнопку «Изменить»;
5. В опции «Является членом» (или «Член группы») выберите настройку «Рабочая группа», введите какое-либо название группы и нажмите на ОК;
6. Если система запросит перезагрузку – вновь нажмите на «Ок»;
7. После перезагрузки вновь зайдите на «Имя компьютера», вновь кликните на «Изменить», но теперь выберите опцию «Домена», наберите название вашего домена, и нажмите на «Ок»;
8. Введите данные пользователя, авторизированного в указанном домене; Нажмите на «Ок», и перезагрузите ваш PC.

Способ №2. Задействуйте PowerShell Ещё одним вариантом решить проблему доверительных отношений в домене является задействование функционала «PowerShell» в Windows 10. Выполните следующее:

1. Войдите в учётку локального администратора на Windows 10;
2. В строке поиска панели задач наберите PowerShell, сверху отобразится найденный результат;
3. Запустите оболочку с правами администратора

1. В открывшейся оболочке наберите команду:

Планирование установки Active Directory в разных подсетях

Итак, у нас имеется две подсети 10.1.3.0/24 и 10.1.4.0/24, в каждой из которых некоторое количество компьютеров и сетевых шар. Нужно объединить все это в один домен. Сети соединены между собой vpn тоннелем, компьютеры пингуют друг друга в обе стороны, проблем с сетевым доступом нет.

Для нормальной работы службы Active Directory установим в каждой подсети по контроллеру домена и настроим репликацию между ними. Использовать будем Windows Server 2012R2. Последовательность действий следующая:

• Устанавливаем контроллер домена в одной подсети, поднимаем на нем новый домен в новом лесу
• Устанавливаем контроллер домена во второй подсети и добавляем его в домен
• Настраиваем между доменами репликацию

Первый контроллер домена будет называться xs-winsrv с адресом 10.1.3.4, второй — xm-winsrv 10.1.4.6. Домен, который мы будем создавать будет называться xs.local