nrg21

Hallo zusammen, ich habe eine Frage bzgl. Exchange Linked Mailbox bei AD-Trusts. Es existiert ein Trust zwischen zwei Domänen (Vertrauenstyp Extern, Bidirektional, nicht transitiv, Selective Authentication). Domäne A hostet den Exchange (2016), Domäne B die Userkonten. Wenn ich eine Linked Mailbox (Verknüpftes Postfach) auf dem Exchange in Domäne A anlegen möchte, werde ich aufgefordert, Admin Credentials der Domäne B anzugeben. Laut Microsoft KB dürften diese bei einem bidirektionalen Trust nicht abgefragt werden, siehe: https://docs.microsoft.com/de-de/exchange/recipients/linked-mail

@daabm Das klingt logisch, was aber überhaupt nicht in das Bild passt ist, dass es nicht immer hängt oder langsam ist. Es ist von Fall zu Fall unterschiedlich. Manche Arbeitsplätze hängen permanent, andere nur hin und wieder, andere laufen gut. Wenn er in einen Kerberos-Timeout läuft aufgrund von Paket-Drop, müsste es doch immer identisch sein.

Vielen Dank, habe mir das gerade mal durchgelesen. Verstehe ich das also richtig, dass in der jetzigen Konfiguration Kerberos gar nicht genutzt werden kann, und somit automatisch der Fallback auf NTLM stattfindet? Also der RDS spricht NTLM mit Domain Controller aus Domain A, um den jeweiligen User aus Domain B zu authentifizieren?

Vielen Dank für die Info. Kannst Du mir auch sagen, welche Kommunikation denn zwischen Client (also in dem Fall RDS) und Trust-Domain-Controller stattfinden muss? Nur Kerberos - also tcp-udp/88 und tcp-udp/464? Was mich aber wundert: Es funktioniert ja - nur eben langsam. Wenn er die direkte Kommunikation benötigt und die DCs keine Kerberos-Proxies sind - wie funktioniert das dann momentan? Die direkte Kommunikation ist nicht gegeben.

Das verwundert mich gerade sehr, denn im Netz habe ich gelesen dass eben nicht jeder Computer aus A (in dem Fall die RDS) mit den DCs aus B sprechen müssen, sondern bei einem Trust der Weg immer über die DCs aus der eigenen Domäne (A) geht und der DC aus A die Anfrage dann an den DC aus B stellt. Ist dem nicht so?

Hallo zusammen, ich habe ein sehr seltsames Phänomen und hoffe, dass jemand bei der Lösung helfen kann. Die Umgebung sieht wie folgt aus: 2 Firmen, sagen wir Firma A und Firma B mit eigenen separaten IT-Infrastrukturen Beide haben ein eigenes Netzwerk, eigenes Active Directory, etc. Firma A hosted eine RDS Terminalserverfarm mit einer Branchensoftware. Firma B benötigt Zugriff auf diese Terminalserverfarm und der Applikation. Zwischen Firma A und Firma B existiert ein Site-to-Site-VPN. Es existiert ein Active Directory Domain Trust zw