Objekte in Foreign Security Principals

[gysinma1]

Hallo Zusammen

Ich stehe auf dem Schlauch

Wir haben zwei Domain AD2003 mit einem oneway domain trust verbunden. In der Domain welche der anderen vertraut, haben wir das Objekt "foreign security principals" randvoll mit SID ... leider finde ich auf Anhieb nix schlaues dazu bei Vater Google. Könnten wir diese löschen (es sind mehrere hundert).

Kennt jmd. ein Link, wo ich nachlesen könnte wann die generiert werden. Tendenziell orte ich das Problem (sofern es eines ist) bei dem InfraMaster. Der Trust ist zwischen einem Forest und einer Childdomain angelegt. Der Forest traut der Childdomain - nicht transitiv. (Es ist mir schon klar, dass dieses Szenario von MS offiziell nicht empfehlenswert ist).

Grüsse,
Matthias

[Daim]

Aloha,

Zitat von gysinma1 Wir haben zwei Domain AD2003 mit einem oneway domain trust verbunden.

Also zwei Domänen in zwei Gesamtstrukturen.

Kennt jmd. ein Link, wo ich nachlesen könnte wann die generiert werden.

Du bekommst diese SID dann angezeigt, wenn die Ziel-Domäne die Namen nicht mehr auflösen kann, aus welchen Gründen auch immer.

Tendenziell orte ich das Problem (sofern es eines ist) bei dem InfraMaster.

Ich nicht.

Der Trust ist zwischen einem Forest und einer Childdomain angelegt. Der Forest traut der Childdomain - nicht transitiv.

Ahaa... es handelt sich also um eine Gesamtstruktur. Warum dann der Aufwand ?

[gysinma1]

Hallo

Ahaa... es handelt sich also um eine Gesamtstruktur. Warum dann der Aufwand ?

Nein es ist keine Gesamtstruktur sondern wie ich sagte eine Child domain eines Forest welche einen outgoing nontransitiven Trust in einen anderen Forest hat. Also keine Gesamtstruktur.


Das mit dem Namensproblem könnte jedoch zutreffen - denn es waren diverse Netbios Probleme vorhanden.

Gruss,
Matthias

[Daim]

Zitat von gysinma1 Nein es ist keine Gesamtstruktur sondern wie ich sagte eine Child domain eines Forest welche einen outgoing nontransitiven Trust in einen anderen Forest hat. Also keine Gesamtstruktur.

Das Wort andere ist aber jetzt erst, dass erstemal gefallen bzw. war so nicht klar.
Bisher hattest Du nur Child-Domäne erwähnt.

[gysinma1]

Sorry - War für mich eigentlich selbstverständlich, da ich sonst forest/child domain geschrieben hätte ... Bei manchen SIDs steht der Logonname dabei und bei manchen nicht.

Gruss
Matthias

[Daim]

Bei manchen SIDs steht der Logonname dabei und bei manchen nicht.

Dann scheint das DNS soweit zu funktionieren. Das liegt sicherlich an dem Trust.
Teste es doch mal aus, in dem Du einen bidirektionalen Trust aufbaust.

[gysinma1]

Hallo

Einen twowaytrust dürfen wir nicht einrichten, da Incoming Domain eine produktive Bankendomain ist unter Bankenaufsicht und die andere eine Produktionsdomain. Da jedoch alle hochverfügbaren Systeme (clusters mit shared storage) über den Trust sauber funktionieren kann ein Trust Problem selbst ausgeschlossen werden.

(Der Trust ist merhfach überwacht).

Gruss,
Matthias

[grizzly999]

Die Objekte solltest du nicht rauslöschen, so lange der Trust besteht. hier werden Security Principlas der externen Domäne mit Zugriff auf die interne Domäne gelistet:

When a trust is established between a domain in a forest and a domain outside of that forest, security principals from the external domain can access resources in the internal domain. Active Directory creates a foreign security principal object in the internal domain to represent each security principal from the trusted external domain. These foreign security principals can become members of domain local groups in the internal domain. Directory objects for foreign security principals are created by Active Directory and should not be manually modified. You can view foreign security principal objects from Active Directory Users and Computers by enabling advanced features.

Quelle: Microsoft Corporation

[gysinma1]

@grizzli999
Super. Vielen Dank! So etwas habe ich gesucht!

Grusse
Matthias