BalduinB

Hab nun mal mitgesnifft. Dabei ist dann doch was aufgefallen. Zur näheren Erklärung noch: Ich habe nur direkte Gewalt über Domäne A und nicht über Domäne B. So wie es ausschaut, tauschen Domäne A und mein Client ein Kerberos Ticket aus (brav). Anschließend kommt ein DNS-Query nach: _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.DOMAIN-B.NET. Dieser kann nicht aufgelöst werden. Auf der Suche, warum das so ist, habe ich rausgefunden, daß DOMAIN-B offensichtlich ein deutsches 2003 ist, während wir hier ein Englisches benutzen. Denn dort sehen auf dem DNS-Einträge so aus: _kerberos._tcp.Standardname-des-ersten-Standorts._sites.dc._msdcs.domain-b.net. bzw. alles was irgendwie bei uns Default-First-Site-Name beeinhaltet, heißt am entfernten Standort Standardname-des-ersten-Standorts. Klingt ja schon mal nicht so prickelnd. Kann man da einfach Aliase eintragen? Oder gibt es noch einen ganz anderen Ansatz? Gruß

Hab gerade nochmal für eine Share einen User freigeben wollen und habe bei der Suche nach einem User, dann so 20mal auf Suchen geklickt, damit ich auch den richtigen Eintrag im Log finde. Im Security Log einscheint dann das als Erfolg(IPs und Namen abgewandelt): Dienstticketanforderung: Benutzername: ich@DOMAIN-A.ORG Benutzerdomäne: DOMAIN-A.ORG Dienstname: DOMAIN-B.NET Dienstkennung: %{S-1-5-21-527237240-1580436667-1957994488-0} Ticketoptionen: 0x40810000 Ticketverschlüsselungstyp: 0x17 Clientadresse: 266.266.266.218 Fehlercode: - Anmelde-GUID: {3c48f6ed-bdc6-4737-a14c-0237615237f} Übertragene Dienste: -

Browsen geht gar nicht. Auch auf den DCs, wo die User noch gefunden werden, klappt das nur über die Suche. Auffällige Eventlog-Einträge gibt es keine. Fehlschläge werden zur fraglichen Zeit auf keinem der DCs eingetragen. Gesnifft habe ich noch nicht ... aber werde ich dann auch mal tun. Im übrigen kommt beim Versuch einen User im Freigabedialog noch diese Fehlermeldung, wenn ich über den "Erweitert..."-Button suche: Aufgrund des folgenden Fehlers können keine Elemente angezeigt werden. Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, daß Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können. Und dann nuckel ich mal Wireshark ... wenn's denn jetzt schon mal die Version 1.0 erreicht hat ... Gruß

Hallo, wir zerbrechen uns schon eine Weile den Kopf über folgendes, recht seltsames Problem: Szenario: Domäne A mit Windows 2003 und 3DCs hat einen bidirektionalen, nicht transitiven Trust mit Domäne B mit 2DCs und ebenfalls W2K3. Wir können seit ca. 2 Wochen von Domäne A aus, die User in Domäne B nicht mehr finden (wenn wir zum Beispiel versuchen eine Share für jene frei zu geben). In der umgekehrten Richtung geht es. Dies betrifft allerdings nur die Mitgliedsrechner der Domäne A. Von den DCs aus, können alle User der Domäne B gefunden werden. Dort klappt es also, aber nicht auf den Clients. Witzigerweise (eigentlich bringt es mich eher zur Verzweiflung ;)) kann man die User mit einem "Trick" doch auflösen: Dazu suche ich mir auf einem Client aus Domäne A eine Share (die auch auf einem anderen Rechner liegen kann), die für einen User aus Domäne B freigegeben ist und lasse mir die Freigabe- oder Zugriffsrechte anzeigen. Hier werden dann User aus Domäne B namentlich aufgelöst. Dann schließe ich das Fenster wieder und möchte wieder lokal eine Share einrichten und füge einen User aus Domäne B hinzu und voilà ... diesmal klappt's. Wenn wir ja nicht ca. 1000 Clients hätte wäre das ja ein etwas seltsamer aber machbarer Workaround ... mal ganz abgesehen davon, daß es so natürlich nicht sein sollte. Wir haben den Trust schon auf einige Arten geprüft, aber alle Prüfungen vom DC aus ergeben natürlich, daß alles in Ordnung ist ... von den DCs aus funktioniert es ja auch. An sich würde ich ja darauf tippen, daß die Kommunikation zwischen den Clients und den DCs der Domäne A irgendwie gestört ist ... allerdings funktioniert ja sonst auch alles. Alles was Rechner und User in Domäne A betrifft funktioniert. User können sich anmelden, Shares frei geben ... alles kein Problem. Innerhalb der Domäne B auch kein Problem, von Domäne B zu Domäne A auch kein Problem nur von A nach B gibt es das Problem, das auf den Nicht-DCs auftritt. Und irgendwie gehen mir so langsam die Ideen aus. Hat jemand eine Idee, was man noch überprüfen könnte? Wir haben auch seit einigen Monaten an der Domäne nichts wissentlich verändert. Wir haben den Trust gebrochen und wieder neu eingerichtet, keine Veränderung. Schon mal danke an die, die den Text überhaupt bis hierher gelesen haben :) BalduinB

Mit dem Script wirds natürlich etwas netter, aber auf einen DC zu gehen erscheint einfach sinnvoller. Danke Maggus

Du hast meine Frage schon beantwortet, danke! Für mich ging einfach nicht so klar aus dem Artikel hervor auf welcher Art Server der Schlüssel einzutragen ist. Eben auf TS oder einem DC. Laut MS-Techniker macht ein Lizenzserver einen Broadcast, so dass er irgendwann im AD eingetragen wird und dann über die DCs verteilt wird. Wenn man aber - wie bei uns - VLANs verwendet, geht der Broadcast wohl in die Hose :( Wir haben also zwischenzeitlich beschlossen den Lizenzserver auf einem unserer DCs zu installieren, weil die dann gleich den Lizenzserver korrekt in die Domäne propagieren. Wäre uns zwar lieber gewesen einen eigenständigen Server dafür zu haben, aber wenn das nicht so richtig oder nur mit grösseren Anstrengungen funktioniert, werden wir ihn eben doch auf einen der DCs packen. Es sind eben auch mehrere TS, Tendenz steigend, so dass wir eben immer den Registrykey eintragen müssten. Ist eben doch einfacher, wenn ein DC das ganze übernimmt. Danke trotzdem! Maggus

Hi! Wir hatten früher einen TLS auf einem der DCs. So war das ja kein Problem. Wir haben nun beschlossen - da der alte etwas betagt ist und ausserdem seine Lizenzdatenbank nur noch als korrupt erkennt - einen neuen TLS auf einem der Domäne zugehörigen Server aufzusetzen, der kein DC ist. Wenn der TLS nicht gleichzeitig DC ist, muss ich laut MS das noch irgendwelchen Servern bekannt machen (http://support.microsoft.com/?scid=kb%3Ben-us%3B279561&x=14&y=8), nur habe ich leider nicht verstanden auf welchen. Müssen das die DCs sein, die die Suchreihenfolge der TLS übermitteln? Oder muss das jeder TS sein, der benutzt werden soll? Für jede Hilfe dankbar, Maggus