Zum Inhalt wechseln


Foto

Active Directory Trust einrichten

Windows Server 2008 R2 Active Directory

  • Bitte melde dich an um zu Antworten
12 Antworten in diesem Thema

#1 rootAdmin

rootAdmin

    Newbie

  • 8 Beiträge

 

Geschrieben 05. April 2017 - 10:18

Hallo Zusammen,

 

ich versuche gerade einen Acitve Directory Trust zu einer anderen Domain via Eingabeaufforderung einzurichten. Leider habe ich Probleme bei der Umsetzung. Aktuell stört er sich an der Syntax. Ich kann aber leider den Fehler nicht entdecken:

 

>netdom trust /domain [DOMAIN.de] /passwordt test /add /kerberos /transitiv:yes /oneside trusting /verify

 

Vielleicht hat das ja schon mal jemand versucht und kann weiterhelfen ;)

 

Danke schon mal im vorraus.

 

Marc



#2 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 05. April 2017 - 10:29

password

Make something i***-proof and they will build a better i***.


#3 NilsK

NilsK

    Expert Member

  • 12.328 Beiträge

 

Geschrieben 05. April 2017 - 10:58

Moin,

 

PasswordT ist zwar richtig, scheint aber nur für Nicht-Windows-Realms zu gelten. Ebenso wird für transitive (mit e) dieselbe Einschränkung angegeben.

 

https://technet.micr...5(v=ws.10).aspx

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#4 rootAdmin

rootAdmin

    Newbie

  • 8 Beiträge

 

Geschrieben 05. April 2017 - 11:00

password

/passwordt ist schon richtig das T steht für das "Vetrauenskennwort"


Moin,

 

PasswordT ist zwar richtig, scheint aber nur für Nicht-Windows-Realms zu gelten. Ebenso wird für transitive (mit e) dieselbe Einschränkung angegeben.

 

https://technet.micr...5(v=ws.10).aspx

 

Gruß, Nils

Sorry hatte ich vergessen: Es geht ja um einen nicht Windows Trust. Ich will meine Windows AD mit einem IdM Server auf RedHat Basis verbinden.

 

Stimmt das e habe ich vergessen, hilft aber leider auch nicht


Bearbeitet von rootAdmin, 05. April 2017 - 11:07.


#5 NilsK

NilsK

    Expert Member

  • 12.328 Beiträge

 

Geschrieben 05. April 2017 - 11:07

Moin,

 

ähem. Die Info ist nicht ganz unwichtig, gell?

 

In dem Artikel, den ich verlinkt habe, stehen dazu Beispiele. Spontan würde ich sagen, dass der Schalter /realm fehlt. Konkrete Erfahrungen habe ich mit so einem Aufbau nicht.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#6 rootAdmin

rootAdmin

    Newbie

  • 8 Beiträge

 

Geschrieben 05. April 2017 - 11:14

Danke dir Nils. Ja hast Recht. Wäre gut wenn das dabei steht. War so im Thema, dass ich das ganz vergessen habe :). Den Link hatte ich auch schon gesehen. Nachdem ich das e hinzugefügt habe stört er sich leider noch an dem Parameter "OneSide".

 

Ich scheine da irgend einen Denkfehler drin zu haben, da es über die GUI (Active Directory-Domänen und -Vertrauensstellungen) ohne Probleme geht. Aber es muss ja auch via Kommadozeile machbar sein.



#7 NilsK

NilsK

    Expert Member

  • 12.328 Beiträge

 

Geschrieben 05. April 2017 - 11:30

Moin,

 

lass den Schalter mal weg. Wenn ich es richtig verstehe, dürfte der bei Kerberos-Realms überflüssig sein.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#8 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 05. April 2017 - 11:32

Moin,
 
PasswordT ist zwar richtig, scheint aber nur für Nicht-Windows-Realms zu gelten. Ebenso wird für transitive (mit e) dieselbe Einschränkung angegeben.
 
https://technet.micr...5(v=ws.10).aspx
 
Gruß, Nils


Wieder was gerlernt. :) Danke.

Make something i***-proof and they will build a better i***.


#9 rootAdmin

rootAdmin

    Newbie

  • 8 Beiträge

 

Geschrieben 05. April 2017 - 11:39

Moin,

 

lass den Schalter mal weg. Wenn ich es richtig verstehe, dürfte der bei Kerberos-Realms überflüssig sein.

 

Gruß, Nils

Das Problem wird dann aber sein. eine Syncosisierung in beide Richtungen (ähnlich twoway) und ich würde gerne alles was im Linux umfeld geschieht auch gerne dort lassen.

 

Update1:

habe gerade den Schalter weggelassen. Dann fängt er an passwordt und transitive anzumäckern. Bringt mich leider nicht weiter. Mir fehlt wie in Outlook so eine aussage, wenn du es mit der Powershell gemcht hättest, müsstest du folgenden befehl nutzen ;)



#10 NilsK

NilsK

    Expert Member

  • 12.328 Beiträge

 

Geschrieben 05. April 2017 - 11:52

Moin,

 

der Schalter hat mit einer "Synchronisierung" nichts zu tun. Bei einem Trust wird nichts synchronisiert. Es ist ja ein Trust, keine Replikation.

 

Ansonsten, wie gesagt: Da der Aufbau selten ist, kann ich nichts Konkretes dazu beitragen.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#11 rootAdmin

rootAdmin

    Newbie

  • 8 Beiträge

 

Geschrieben 05. April 2017 - 11:58

Ja stimmt. Noch wird nicht synchronisiert. Der Trust aht aber nacher auswirkung auf den LDAP-Sync den ich darauf aufsetzen will. Aber danke für eure mühen. Vielleicht findet sich ja noch jemand, der das mal durchgespielt hat.



#12 NilsK

NilsK

    Expert Member

  • 12.328 Beiträge

 

Geschrieben 05. April 2017 - 12:09

Moin,

 

hm ... wenn du einen Sync machst, brauchst du aber eigentlich keinen Trust. Ganz im Gegenteil könnte der in dem Zusammenhang eher problematisch sein für den Betrieb.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#13 rootAdmin

rootAdmin

    Newbie

  • 8 Beiträge

 

Geschrieben 05. April 2017 - 12:46

In meinem aktuellen Projekt integriere ich eine auf Freeipa basierende Zwei-Faktor Authentifizierungslösung in die bestehende Infrastrucktur. Um eine LDAP Synchronisierung einzurichten ist hier zwingend eine Vertrauensstellung zwischen der Windows und der Linuxumgebung nötig. Deshalb der ganze Aufwand.

 

Für die Projektdokumentation habe ich mich jetzt einfach darauf begrenzt die GUI Variante zur einrichtung des Trusts zu dokumentieren. Währe nur interessant gewissen herauszufinden, wie dieser Trust per Kommandozeile eingerichtet werden kann. Aber es geht ja auch so.





Auch mit einem oder mehreren der folgenden Tags versehen: Windows Server 2008 R2, Active Directory