habe ein kleines Problem und finde keine Lösung. Folgende Situation:
Aufbau
2 Domains (DOM-A und DOM-B)
DOM-A hat eine ausgehende Vertrauensstellung zu DOM-B (OneWay Trust)
Functional Level DOM-A ist 2012R2
Functional Level DOM-B ist 2016
Ziel
DOM-A und B wollen Doppelte Datenpflege verwalten. Das passiert, indem DOM-B Benutzer erstellt und DOM-A Berechtigt diese auf seine Freigaben und ggf. andere Ressourcen.
Damit das funktioniert muss DOM-A die User aus DOM-B einlesen können
Problem
DOM-A sollte die User aus DOM-B, in Active Directory Benutzer und Gruppen auslesen können und auf seine Ressourcen entsprechend berechtigen können (ging auch ganz kurz, dazu später).
Das funktioniert leider nicht. Wenn man den Trust Bidirektional einrichtet, funktioniert alles, wenn man dann eine unidirektionalen Trust daraus macht, so bricht die Funktion ein. Auf der Trust
Seite (DOM-A), wo DOM-B zur Auswahl angeboten wird, um z.B: Benutzer in ActiveDirectory Benutzer und Gruppen MMC einzulesen, taucht kein einziger User auf, auch keine Gruppe und sonst nichts.
Voraussetzungen
Geht davon aus, dass Domaincontroller auf beiden Seiten korrekt funktionieren und im Ereignislog gar keine und vor allem keine relevanten Fehler zum im folgenden genannten Problem vorliegen.
Alle möglichen Diagnosen mit CMD erfolgreich.
Debugging Meldungen alle gelesen, es ist nichts was auf das Problem Hindeutet
DNS funktioniert einwandfrei
Hinweise
Ich habe festgestellt, dass wenn wir per CIFS von DOM-B, von DOM-A aus begehen daher in Explorer: \\DOM-A eingeben, fragt Windows nach Authentifizierung.
Wenn man an der Stelle auf jedem DC Benutzername Passwort vom Admin aus DOM-B eingibt, sich also authentifiziert, so kann man auch im MMC ActiveDirectory Benutzer und Gruppen alle User und Gruppen schlagartig
wieder einlesen.
Umgekehrt, wenn man also von DOM-A aus, \\DOM-B eingibt, bekommt man die SYSVOL und NETLOGON Freigabe ohne Frage nach Authentifizierung.
Vermutungen
Ich denke es ist nicht im Sinne des Erfinders das ganze so zu verbiegen, dass DOM-A DCs jeweils Zugriff auf DOM-B SYSVOL immer per Admin Account aus DOM-B gemappt werden.
Entweder
sind dort, im OneWay Trust Nacharbeiten vorgesehen, dass DOM-A in DOM-B als Authentifizierte Benutzer angesehen wird oder etwas in die Richtung (die ich wohl nicht kenne).
ODER
die Functional Levels sind untereinander nicht kompatibel?
ODER
Gibt es andere Ideen dazu?
By the Way, wenn ich meinen Functional Level aus DOM-B (2016) herunterstufe auf 2012R2, bekomme ich Probleme ? Domäne ist relativ neu, besteht aus 2DCs und benutzt keine Features aus 2016 FL, hat erfolgreich funktionierende
andere bidirektionale Trusts zu anderen Domänen.
DOM-A ist relativ alt, hat FL 2012R2, kann nicht heraufgestuft werden aus anderen Gründen, besteht aus 3DCs, hat erfolgreich funktionierende andere bidirektionale Trusts zu anderen Domänen
ANALYSE UND FEHLER
Alle nachfolgenden Befehle aus DOM-B heraus (DOM-B ist die benachteiligte DOMAIN, hat die eingehende Vertruanesstellung, daher kann keine User / Gruppen... auslesen aus DOM-A)
DOM-A ist in jedem dieser Diagnosebefehle ohne Fehler
PS C:\Users\Administrator> netdom trust DOM-B /d:DOM-A /verify
Der Befehl wurde nicht ordnungsgemäß ausgeführt.
________________________________
nltest /domain_trusts /v
--> Alle Domains korrekt aufgeführt
________________________________
PS C:\Users\Administrator> nltest /sc_query:dom-a.local
Fehler bei I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
AD Trust Geheimnisse
in Active Directory Forum
Geschrieben
Guten Tag Leute,
habe ein kleines Problem und finde keine Lösung. Folgende Situation:
Aufbau
2 Domains (DOM-A und DOM-B)
DOM-A hat eine ausgehende Vertrauensstellung zu DOM-B (OneWay Trust)
Functional Level DOM-A ist 2012R2
Functional Level DOM-B ist 2016
Ziel
DOM-A und B wollen Doppelte Datenpflege verwalten. Das passiert, indem DOM-B Benutzer erstellt und DOM-A Berechtigt diese auf seine Freigaben und ggf. andere Ressourcen.
Damit das funktioniert muss DOM-A die User aus DOM-B einlesen können
Problem
DOM-A sollte die User aus DOM-B, in Active Directory Benutzer und Gruppen auslesen können und auf seine Ressourcen entsprechend berechtigen können (ging auch ganz kurz, dazu später).
Das funktioniert leider nicht. Wenn man den Trust Bidirektional einrichtet, funktioniert alles, wenn man dann eine unidirektionalen Trust daraus macht, so bricht die Funktion ein. Auf der Trust
Seite (DOM-A), wo DOM-B zur Auswahl angeboten wird, um z.B: Benutzer in ActiveDirectory Benutzer und Gruppen MMC einzulesen, taucht kein einziger User auf, auch keine Gruppe und sonst nichts.
Voraussetzungen
Geht davon aus, dass Domaincontroller auf beiden Seiten korrekt funktionieren und im Ereignislog gar keine und vor allem keine relevanten Fehler zum im folgenden genannten Problem vorliegen.
Alle möglichen Diagnosen mit CMD erfolgreich.
Debugging Meldungen alle gelesen, es ist nichts was auf das Problem Hindeutet
DNS funktioniert einwandfrei
Hinweise
Ich habe festgestellt, dass wenn wir per CIFS von DOM-B, von DOM-A aus begehen daher in Explorer: \\DOM-A eingeben, fragt Windows nach Authentifizierung.
Wenn man an der Stelle auf jedem DC Benutzername Passwort vom Admin aus DOM-B eingibt, sich also authentifiziert, so kann man auch im MMC ActiveDirectory Benutzer und Gruppen alle User und Gruppen schlagartig
wieder einlesen.
Umgekehrt, wenn man also von DOM-A aus, \\DOM-B eingibt, bekommt man die SYSVOL und NETLOGON Freigabe ohne Frage nach Authentifizierung.
Vermutungen
Ich denke es ist nicht im Sinne des Erfinders das ganze so zu verbiegen, dass DOM-A DCs jeweils Zugriff auf DOM-B SYSVOL immer per Admin Account aus DOM-B gemappt werden.
Entweder
sind dort, im OneWay Trust Nacharbeiten vorgesehen, dass DOM-A in DOM-B als Authentifizierte Benutzer angesehen wird oder etwas in die Richtung (die ich wohl nicht kenne).
ODER
die Functional Levels sind untereinander nicht kompatibel?
ODER
Gibt es andere Ideen dazu?
By the Way, wenn ich meinen Functional Level aus DOM-B (2016) herunterstufe auf 2012R2, bekomme ich Probleme ? Domäne ist relativ neu, besteht aus 2DCs und benutzt keine Features aus 2016 FL, hat erfolgreich funktionierende
andere bidirektionale Trusts zu anderen Domänen.
DOM-A ist relativ alt, hat FL 2012R2, kann nicht heraufgestuft werden aus anderen Gründen, besteht aus 3DCs, hat erfolgreich funktionierende andere bidirektionale Trusts zu anderen Domänen
ANALYSE UND FEHLER
Alle nachfolgenden Befehle aus DOM-B heraus (DOM-B ist die benachteiligte DOMAIN, hat die eingehende Vertruanesstellung, daher kann keine User / Gruppen... auslesen aus DOM-A)
DOM-A ist in jedem dieser Diagnosebefehle ohne Fehler
PS C:\Users\Administrator> netdom trust DOM-B /d:DOM-A /verify
Der Befehl wurde nicht ordnungsgemäß ausgeführt.
________________________________
nltest /domain_trusts /v
--> Alle Domains korrekt aufgeführt
________________________________
PS C:\Users\Administrator> nltest /sc_query:dom-a.local
Fehler bei I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
________________________________
PS C:\Users\Administrator> nltest /dsgetdc:.dom-a.local /FORCE
Domänencontroller: \\ad3.dom-a.local
Adresse: \\2*.0.*2.*3
Domänen-GUID: b*****-*****-*****-****-321**
Domänenname: dom-a.local
Gesamtstrukturname: dom-a.local
DC-Standortname: dom-a-standortname
Kennzeichen: GC DS LDAP KDC TIMESERV BESCHREIBBAR DNS_DC DNS_DOMAIN DNS_FOREST FULL_SECRET WS DS_8 DS_9 DS_10
Der Befehl wurde ausgeführt.
________________________________
nslookup -debug -type=srv _ldap._tcp.dc._msdcs.dom-a.local
--> alles gut
Hat jemand eine Idee?
Danke schonmal vorab