UsualSuspect

schlagt mich knebelt mich, haut auf mich ein ;-)

 

und mit diesem "Gold-Support" meine ich genau den erwähnten Support bei... wie war das? Gold-Membern? oder so? Gold-Partner!

 

Und ich habe nicht schlecht über den Support geredet, er ist sogar besser als man es gewohnt ist. Dennoch hat er das DFS-Problem in einer anderen Umgebung nicht gelöst bekommen!

 

Wie dem auch sei, zerreißt euch meinetwegen gegen seitig oder zerreißt mich wenn es euch glücklich macht ;-)

 

Habe euch trotzdem zu danken!

GPO ist sicher eine Lösung, wollte nur aus interesse alle alternativen kennen!

 

Danke für den Link, den werde ich mir morgen mal zu gemühte führen!

 

Und jetzt wo ich die Lösung kenne, kann ich es auch nicht glauben das die das nach zwei Wochen nicht gebacken bekommen... na die werden morgen was von mir hören :P

 

so long...

hey...

das mit den DCs und Snapshot ist mir durchaus bekannt und ich habe schon so einige nach Images aus der versenkung zurück holen müssen ;-)

 

und nein, selbstverständlich nicht!

 

Aber jetzt habe ich noch eine Frage!

Die Lösung des Problems war wohl tatsächlich die "DNS-Suffixsuchliste"

Dies scheint auch ein Problem gelöst zu haben, durch welches der Zugriff einer Domäne auf die DFS-Freigabe einer anderen Domäne nicht, oder nur eingeschränkt möglich war.

 

Problem:

Diese "lokale" Einstellung müsste ich nun auf ALLEN Clienten vornehmen!

gibt es da einen eleganteren weg?

Damit meine ich nicht die Einstellung per reg-key oder gpo zu verteilen, sondern per Server (DNS Einstellungen evtl.?)

 

so long und nochma SSUUUUPER!!!!

Ihr habt ein Problem gelöst, an dem sich der MS-Gold Support 2 Wochen lang die Zähne ausgebissen hat :P (das DFS-Ding)

hehe... keine panik auf der Titanik :P

 

die eine Domäne läuft Virtuell auf ESX-Servern... die DCs wurden heruntergefahren und von ihnen wurden snapshots erstellt....

diese Snapshots habe ich wiederhersgestellt... keinerlei Problem :P

 

Aber ich habe eine gute Nachricht, die Bidirektionale Vertrauensstellung scheint nun Funktioniert zu haben, leider will ich die garnicht, sondern eine Unidirektionale, das werde ich mir jedoch gleich noch testen.

 

Dann kommt sicher gleich das nächste problem, von einer Domäne auf die DFS-Freigabe der anderen Domäne zuzugreifen, bzw. nur bestimmten Nutzern rechte zu geben... ahhiii ich hab angst ;)

 

Super großen Dank soweit für die "Erste Hilfe" :P

so,

konfiguriere ich nun die Vertrauensstellung (Bidirektional - alles defaultwerde) wird sie lokal eingerichtet, nachdem ich die Vertrauensstellung nun bestätigen lassen möchte bekomme ich folgende Fehlermeldung:

 

Die Überprüfung der eingehenden Vertrauensstellung ist mit folgendem Fehler bzw. folgenden Fehlern fehlgeschlagen:

Die Überprüfung des Vertrauensstellungskennworts ist mit folgendem Fehler fehlgeschlagen: 1355: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

Es wird versucht, den sicheren Kanal zurückzusetzen.

Das Zurücksetzen des sicheren Kanals ist mit folgendem Fehler fehlgeschlagen: 1355: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

 

Die Überprüfung der ausgehenden Vertrauensstellung ist mit folgendem Fehler bzw. folgenden Fehlern fehlgeschlagen:

Die Überprüfung des Vertrauensstellungskennworts ist mit folgendem Fehler fehlgeschlagen: 1787: Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung.

Es wird versucht, den sicheren Kanal zurückzusetzen.

Das Zurücksetzen des sicheren Kanals ist mit folgendem Fehler fehlgeschlagen: 1787: Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung.

 

bäähhh :(

 

btw habe ich den Snapshot zurück gespielt... es handelt sich jetzt wieder um eine Windows 2000 und eine Windows 2003 Domäne

Nur aus Interesse: In der IP-Konfiguration der Domänencontroller/DNS-Server sind ausschliesslich interne DNS-Server eingetragen oder auch externe?

 

außschließlich als primärer jeweils der andere DC/DNS Server der eigenen Domäne

als sekundärer er selber

@UsualSuspect:

Cross-Postings solltest Du grundsätzlich vermeiden.

 

Problem mein erstellen einer Vertrauensstellung zwischen zwei Domnen - Druckansicht - administrator.de

 

hehe, mach ich normalerweise auch nicht, bin nur etwas unter zeitdruck und finde keine lösung :(

verstoß gegen forenregeln? wenn ja - dickes sorry!

Wie sind die DNS-Suffixsuchlisten konfiguriert?

 

Technet sei dank ;-)

unkonfiguriert!

ich teste mal hier die beiden Domänen Suffixe einzutregen... ein erster schneller test, ergab das die Auflösung von blanken Rechnernamen einer Anderen Domain funktioniert... ich ergänze dies mal auf den übrigen drei DNS-Servern....

Wie sind die DNS-Suffixsuchlisten konfiguriert?

 

Jetzt steh ich auf dem Schlauch, was meinst du damit?

also die Weiterleitung ist jeweils so konfiguiert:

 

Auf beiden DNS-Server dern Domäne A:

DNS-Domäne: B.local -> die beiden DC/DNS Server der Domäne B

 

Auf beiden DNS-Server der Domäne B:

DNS-Domäne:A.local -< die beiden DC/DNS Server der Domäne A

 

Was passiert bei ping?

 

Ping funktioniert sowohl mit IP, wie auch DNS-Namen (Domänenname, also A.local oder B.local) in beide Richtungen, Aufgelöst wird der Domänenname mit einem der beiden IP-Adressen der beiden DC/DNS Server (Round Robin?)

hey...

 

also ich habe jetzt die bedingte weiterleitung eingerichtet (natürlich die Sek.Zonen gelöscht).

 

Die DNS auflösung funktioniert weiterhin wie gehabt (erst timeout, dann treffer)

 

Das Problem besteht aber weiterhin.

Auch der Test mit der dritten Domäne, resultiert in ähnlichhen Problemen.

Der Unterschied ist aber ejtzt, das ich bei der ersten Angabe der "zu Vertrauenden Domäne" zur Auswahl komme ob ich eine Uni oder Bi-direktionale Vertrauensstellungen einrichten möchte.

 

Nachdem ich die Vertrauensstellung von der gegenseite jedoch Bestätigen lassen soll, kommt wieder der Fehler das die Domäne nicht verfügbar ist :(

 

ich dreh noch am rad....

 

aber erstmal großen Dank für die Hilfe bisher, die bedingte Weiterleitung ist wirklich schöner, als eine Sekundäre Zone!

 

Habt ihr weitere Hilfreiche Tipps für mich?

aber ich fahr jetzt erstmal nach hause und hau mir was zwischen die Zähne... mach dann remote weiter, werde eure Vorschläge erst einmal durchtesten und dann noch die oben erwähnte vertrauensstellung zur dritten Domäne durchspielen...

 

Feedback kommt!

Warum nicht bedingte Weiterleitungen zur jeweils anderen Zone?

 

DNS and NetBIOS Name Resolution to Create External, Realm and Forest Trusts

 

naja, entweder oder!?!? :confused:

 

Aber das werde ich doch auch gleichmal testen...

ich habe hier noch eine dritte domäne, mit der ich einmal die Vertrauensstellung testen werden, um ggf. eine der Beiden Domänen A oder B als Fehlerquelle auszuschließen... >> Ausschlussverfahren!

prüfe, ob du durch NetBIOS-Namensauflösung (WINS oder notfalls LMHosts) das Problem in den Griff kriegst.

In den Domänen existiert kein WINS... das mit der LMHosts werde ich gleich einmal testen.... Feedback in 10 min.

 

Evtl. könnte auch beitragen, Domäne B auf den 2003-Native-Mode umzuschalten. Der Mixed Mode unterstützt noch NT, da kann es evtl. sein, dass es Abhängigkeiten zu NetBIOS gibt.

Habe die Domäne zu "Windows Server 2003" heraufgestuft... hat jedoch keine abhilfe geschaffen

 

Wie hast du die Namensauflösung geprüft?

 

nslookup

set debug

set debug2

 

Als antwort auf die Anfrage nach dem Domänennamen bekomme ich, nach dem ersten timeout, die beiden DCs bzw. DNS-Server als Antwort.

 

Eine Verbindung auf Netzressourcen: \\DomänaA.local und der Angabe des Benutzers DomäneA.local\Administrator bekomme ich auf Zugriff

Hi,

 

ich hab ein Problem beim erstellen einer Vertrauensstellung zwischen zwei unabhängigen Domänen.

Ich vermute ein banales Problem, aber ich komme einfach nicht drauf. Vielleicht kann mir jemand helfen?

 

Domäne A:

Zwei Domänencontroller mit "Windows Server 2003 Std. R2 SP2"

Domänenfunktionsebene "Windows Server 2003"

Gesamtstrukturfunktionsebene: "Windows 2000"

 

Domäne B:

Zwei Domänencontroller mit "Windows Server 2003 Ent. SP2" (KEIN R2)

Domänenfunktionsebene "Windows 2000 gemischt"

Gesamtstrukturfunktionsebene: "Windows 2000"

 

Die beiden Domänen haben erst einmal NICHTS miteinander zu tun. Befinden sich in unterschiedlichen Netzen, welche geroutet werden.

Da bekanntlich das erste Problem die Namensauflösung ist, habe ich mir DNS zur Brust genommen, und auf den DNS-Servern (AD-integriert) jeweils eine Sekundäre-Zone erstellt.

DNS-Server der Domäne A hat eine Sekundäre-Zone der Domäne B

DNS-Server der Domäne B hat eine Sekundäre-Zone der Domäne A

Das funktioniert auch wunderbar, DNS einträge werden aktuallisiert, alles super!

 

Die DNS Auflösung funktioniert "eigentlich" auch.

"eigentlich" bedeutet das Domäne A von einem Rechner aus Domäne B aufgelöst werden kann, jedoch erst nach einem ersten Timeout:

Der Timeout entsteht dadurch, das wenn ich Domäne A auflösen möchte, erst einmal der suffix von Domäne B angehängt wird.

Beim zweiten Versuch wird dieser weg gelassen und die Auflösung funktionert.

Natürlich kann ich dieses Phänomen ausschließen, in dem ich den FQDN mit einem "." abschließe.

 

Dieses Auflöseverhalten ist in beiden Richtungen identisch.

 

Ich schließe also erst einmal eine DNS-Fehlfunktion aus! > richtig?

 

Das eigentliche Problem tritt bei der Erstellung der Vertrauensstellung auf

Beim eingeben der Domäne zu welcher ich eine Vertrauensstellung erstellen möchte verhält es sich auf beiden Severn unterschiedlich:

 

Einrichtung auf Domäne A:

Beim eingeben der Domäne B und einem klicka auf "Weiter" springe ich sofort zum nächsten Fenster in dem ich eingeben kann ob "Bidirektional", "Uni-eingehend" oder "Uni-ausgehend".

Nach der Wahl muss ich ein "Vertrauensstellungskennwort" angeben -> erfolgreich

Im nächsten Schritt muss die Vertrauensstellung von der Gegenseite bestätigt werden, nach eingabe der Administrator-Zugangsdaten der Domäne B kommt jedoch die Fehlermeldung:

"Die Angegebene Domäne ist nicht Verfügbar"

 

Einrichtung auf Domäne B:

Beim eingeben der Domäne B und einem klicka auf "Weiter" entsteht eine verzögerung (??Namensauflösung??) und das nächste Fenster stellt mir vor die Frage ob ich eine "Bereichsvertrauensstellung" oder eine "Vertrauensstellung mit einer Windows-Domäne" erstellen möchte. Bei Angabe der "Windows-Domäne" kann der Vorgang nicht vortgesetzt werden da die Domäne nicht gefunden werden kann.

 

Es macht mir hier den Eindruck das Domäne A zwar Domäne B erreicht, aber Domäne B die Domäne A nicht!

 

Kann mir hier jemand Sagen woran das liegt?

 

Vielen Dank schon einmal vorweg!

Hi,

 

wenn es über die Kommandozeile gehen soll,

ist "net use" dein Freund ;)

net use /? ist da schon ganz hilfreich
net use \\computer_in_domäne_b\c$ /user:domäne_b\administrator
alternativ (um auf alle Freigaben zugreifen zu können)
net use \\computer_in_domäne_b\ipc$ /user:domäne_b\administrator 

 

Dann solltest Du das Passwort eingeben müssen.

Anschließend lässt sich auch im Explorer der Aufruf \\computer_in_domäne_b\c$

durchführen.

HTH

Zoni

 

DAS WARS!! Vielen Dank!

 

An alle anderen:

Es ist ja nett das ihr immer alternativen zur Lösung anbietet. Aber wenn ich sage, ich will keine Vertrauensstellung, dann will ich diese auch nicht! Man stelle sich (wie in meinem Fall) eine Referenzdomäne eines Kunden für Softwareentwicklung vor, die so nahe am Live-System gehalten werden soll wie möglich. Da ist so ein Umweg einfach "unschön".

 

Merci für die Hilfe

also wenn es da scheinbar wirklich keine windows boardmittel gibt, wie müsste das script denn aussehen? net use?

Weil auf der Domäne B unsere Entwickler Administratorrechte haben...

 

UND ICH TRAUE KEINEN ENTWICKLERN ;)

 

also kommt zumindest keine beidseitige Vertrauensstellung in Frage.

 

Aber mal im Ernst, wenn ich das mit dem Explorer hinbekomme, kann ich das nicht per cmd irgendwie auch hinbekommen?

Schreib ein Script welches das LW verbindet, das Log kopiert und dann das LW wieder trennt.

 

nenene,

es handelt sich ja um ein "genereles" Problem. Ich würde gerne die Funktion kennen mit der möglich ist. Keinen Workaround

Hi leute,

 

wohl ne sehr simple Frage, aber finde dazu leider nichts im Web (vielleicht wegen der Einfachheit?).

 

Ich will von Domäne A, auf einen Rechner auf Domäne B zugreifen. Genauer gesagt auf die Administrative Freigabe eines Rechners in Domäne B.

 

Lassen wir mal DNS bei seite und sagen wir ich kenne die Zugangsdaten des Domänen Administrators. Die beiden Domänen haben keine Vertauensstellung und befinden sich nicht in der selben Domänengesamtstruktur.

 

Greife ich jetzt von meinem Rechner A.DomäneA auf den Rechner B.DomäneB über: \\IP-Adresse\c$ zu, bekomme ich:

Es stehen zur zeit keine Anmeldeserver zur Verfügung.

 

Nutze ich den Explorer zum Verbinden von Netzlaufweken und geben an, dass er einen anderen Benutzer nutzen soll: DomäneB\Administrator, funktioniert das wunderbar.

 

Nun will ich aber nicht jedesmal ein Netzlaufwerk verbinden nur um mir mal ne LOG von nem Rechner zu ziehen. Gibt es da nicht eine einfachere Möglichkeit?

 

Merci schonmal vorweg

Doch, aber du hast ja keine WS03R2-Medien.

Als glücklicher MSDN-Abokunde habe ich die ;)

 

Also um nochmal zusammen zu fassen:

 

Wenn das AD-Schema Version 31 entspricht. Funktioniert sowohl Domänenbasierter Namespace DFS-N als auch DFS-R meiner W2008StorageServer?

 

Bin grad echt am straucheln, da am Montag ausgerollt werden soll und die Domainversion der AD vor Ort völlig unbeachtet blieb.

Reicht ein Schemaupdate auf 2k3r2 (Schema Version 31) nicht aus?

aktuell ist die Schemaversion 30 (Windows Server 2003 mit/ohne SP1 SP2) am laufen.

 

bzw. is ein Schemaupdate von 30 auf 44 einfach so zu machen?

 

Sind damit lizenzkosten verbunden?

Hi,

 

ich hab mich schon ein bischen umgeschaut, nur leider keine Antwort auf mein Problem gefunden.

 

Is kurz und knapp beschrieben:

 

Ich habe zwei Windows Server 2003 SP2 (kein R2) als DCs

Jetzt möchte ich mit zwei Windows Server 2008 einen Domänenbasierten Namespace erstellen unter welchem ein Share zu sehen ist, welches durch DFS-R zwischen den beiden W2k8 Servern repliziert wird.

 

Was ich bisher vermute:

 

DFS-N (Also Domänenbasierter Namespace) sollte ohne Probleme funktionieren

 

für DFS-R zwischen den zwei W2k8 Servern brauche ich ein SchemaUpdate der R2 CD2 auf den DCs (W2k3 SP2 ohne R2).

 

Liege ich da völlig Falsch oder müsste das soweit passen?

 

Danke schon mal im vorraus!

*bump* weil noch keine Lösung gefunden!

Hey,

 

damit wir uns hier richtig verstehen und nicht aneinander vorbei reden:

 

Freigabeberechtigung:

DFS-Verwaltung -> Namespace -> \\A.local\Storage -> Reiter Namespaceserver -> \\DC\Storage -> Eigenschaften -> Freigabeberechtigungen:

Dort hat "jeder" Leserechte, zusätzlich habe ich nun noch "Administrator" aus der Domäne B.local leserechte gegeben.

 

Das sind dann die selben Berechtigungen die auch direkt auf dem Freigegebenen Ordern auf dem DC liegen C:\DFSRoot\Storage

 

NTFS:

C:\DFSRoot\Storage -> Sicherheit, dort darf auch "Jeder" lesen. Zusätzlich haben ich noch dem Administrator aus der Domäne "B.local" leserechte gegeben.

 

Innherlb von Rechner X.B.local melde ich mich als Domänenadministrator an.

 

Selbes Phänomen, keine Änderung :(

 

wenn du von

Überprüfe die Berechtigungen auf Namespace Ebene noch einmal.

redest, ist mir nicht ganz klar wo ich direkt auf dem Namespace und nicht auf dem Namespace-Server die Berechtigungen vergeben kann.

 

Ist damit vielleicht in der MMC "Active Direcotry-Benutzer und - Computer" das Objekt "A.local/System/Dfs-Configuration/Storage" gemeint?

bei diesem Objekt steht allerdings unter "Sicherheit" auch der Administrator der Domäne B mit den Rechten "Vollzugriff, Lesen und Schreiben" drinnen.

sorry für doppelpost, aber vielleicht helfen infos weiter:

 

Erstelle ich eine stink normale Freigabe auf DC.A.local passiert folgendes:

 

Mit Rechner X.B.local komme ich auf die Freigabe wenn ich sie über \\DC.A.local\Freigabe anspreche. Ich komme aber NICHT auf die Freigabe wenn ich Sie über \\A.local\Freigabe anspreche. In beiden fällen ist die Freigabe jedoch sichtbar!