<div dir="ltr">HI Alex,<div><br></div><div>Thanks for the information</div><div><br></div><div>i have removed old trust and recreating agan</div><div><br></div><div><img src="cid:ii_154f13b4b67aaf55" alt="Inline image 1" width="472" height="366"><br></div><div><img src="cid:ii_154f13bbe82f1a5e" alt="Inline image 2" width="472" height="366"><br></div><div><div id="gmail_2n54v1rvwb90" style="display:inline-block"><div></div></div><img src="cid:ii_154f13e070f867f6" alt="Inline image 4" width="472" height="366"><br></div><div><br></div><div>And with PA domain (idm.local) also same, it's not creating trust.</div><div><br></div><div>Regards,</div><div>Ben</div><div class="gmail_extra"><br></div><div class="gmail_extra"><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, May 27, 2016 at 10:53 AM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><span class="">On Fri, 27 May 2016, Ben .T.George wrote:<br>
</span><span class=""><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">
This is what i am getting<br>
<br>
[image: Inline image 1]<br>
[image: Inline image 3]<br>
[image: Inline image 4]<br>
<br>
And that wizand end with nothing. Please anyone share more info regarding<br>
this<br>
</blockquote></span>
The wizard asks you to enter the name of the domain, forest, or realm<br>
for the trust. You are entering hostname of IPA master. This is never<br>
going to fly.<br>
<br>
In Active Directory terms:<br>
- forest is a set of AD domains<br>
- it is named after the first AD domain created in the forest<br>
- this domain is called 'forest root domain'<br>
<br>
In FreeIPA we have a single 'domain' from Active Directory perspective:<br>
- this is the domain corresponding to Kerberos realm name, (ipa.local<br>
  in your case)<br>
- Forest name = forest root domain name = ipa.local<br>
<br>
The wizard will then use DNS SRV records to discover IPA masters (AD DCs<br>
for Active Directory view).<div class=""><div class="h5"><br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">
<br>
Regards,<br>
Ben<br>
<br>
On Fri, May 27, 2016 at 10:24 AM, Ben .T.George <<a href="mailto:bentech4you@gmail.com" target="_blank">bentech4you@gmail.com</a>><br>
wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">
HI Alex.<br>
<br>
I Am using windows 2008 R2.<br>
<br>
when i am giving IPA's DNS name and click next, the trust wizard is not<br>
going through. But if i am selecting realm trust , atleast the wizard<br>
completes.<br>
<br>
So which AD version is recommended ?<br>
<br>
Regards,<br>
Ben<br>
<br>
On Fri, May 27, 2016 at 7:05 AM, Alexander Bokovoy <<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>><br>
wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">
On Fri, 27 May 2016, Ben .T.George wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">
HI<br>
<br>
i ran some commands from AD side and the Trust status got changed.Below<br>
is<br>
the command i used on AD<br>
<br>
netdom trust <TrustingDomainName> /d:<TrustedDomainName> /verify<br>
<br>
<br>
Before it was : "waiting for confirmation by remote side" and not it got<br>
changed to "Trust type: Active Directory domain"<br>
<br>
But when i am trying to map AD group, it not going through<br>
<br>
<br>
root@zkwipamstr01 ~]# ipa group-add-member ad_admins_external --external<br>
'MTC_TABS\Domain Users'<br>
[member user]:<br>
[member group]:<br>
Group name: ad_admins_external<br>
Description: ad_domain admins external map<br>
Failed members:<br>
  member user:<br>
  *member group: MTC_TABS\Domain Users: trusted domain object not found *<br>
-------------------------<br>
Number of members added 0<br>
-------------------------<br>
<br>
This is what my trust properties from AD. Trust type is showing as realm<br>
<br>
</blockquote>
It should be 'Forest', not 'realm'. Realm is for plain MIT Kerberos<br>
realm trust which is *not* what IPA provides.<br>
<br>
[image: Inline image 1]<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">
<br>
How can i fix this issue.<br>
<br>
</blockquote>
Use correct type of trust when establishing trust on AD side. If your<br>
Windows version does not allow to specify proper trust type, I'm afraid,<br>
there is nothing we can help with.<br>
<br>
--<br>
/ Alexander Bokovoy<br>
<br>
</blockquote>
<br>
<br>
</blockquote></blockquote>
<br>
<br>
<br>
<br>
<br></div></div><span class=""><font color="#888888">
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div></div>