Jump to content
Sign in to follow this  
gysinma1

Objekte in Foreign Security Principals

Recommended Posts

Hallo Zusammen

 

Ich stehe auf dem Schlauch :confused:

 

Wir haben zwei Domain AD2003 mit einem oneway domain trust verbunden. In der Domain welche der anderen vertraut, haben wir das Objekt "foreign security principals" randvoll mit SID ... leider finde ich auf Anhieb nix schlaues dazu bei Vater Google. Könnten wir diese löschen (es sind mehrere hundert).

 

Kennt jmd. ein Link, wo ich nachlesen könnte wann die generiert werden. Tendenziell orte ich das Problem (sofern es eines ist) bei dem InfraMaster. Der Trust ist zwischen einem Forest und einer Childdomain angelegt. Der Forest traut der Childdomain - nicht transitiv. (Es ist mir schon klar, dass dieses Szenario von MS offiziell nicht empfehlenswert ist).

 

Grüsse,

Matthias

Share this post


Link to post

Aloha,

 

Wir haben zwei Domain AD2003 mit einem oneway domain trust verbunden.

 

Also zwei Domänen in zwei Gesamtstrukturen.

 

Kennt jmd. ein Link, wo ich nachlesen könnte wann die generiert werden.

 

Du bekommst diese SID dann angezeigt, wenn die Ziel-Domäne die Namen nicht mehr auflösen kann, aus welchen Gründen auch immer.

 

Tendenziell orte ich das Problem (sofern es eines ist) bei dem InfraMaster.

 

Ich nicht.

 

Der Trust ist zwischen einem Forest und einer Childdomain angelegt. Der Forest traut der Childdomain - nicht transitiv.

 

Ahaa... es handelt sich also um eine Gesamtstruktur. Warum dann der Aufwand ?

Share this post


Link to post

Hallo

 

Ahaa... es handelt sich also um eine Gesamtstruktur. Warum dann der Aufwand ?

 

Nein es ist keine Gesamtstruktur sondern wie ich sagte eine Child domain eines Forest welche einen outgoing nontransitiven Trust in einen anderen Forest hat. Also keine Gesamtstruktur.

 

 

Das mit dem Namensproblem könnte jedoch zutreffen - denn es waren diverse Netbios Probleme vorhanden.

 

Gruss,

Matthias

Share this post


Link to post

Nein es ist keine Gesamtstruktur sondern wie ich sagte eine Child domain eines Forest welche einen outgoing nontransitiven Trust in einen anderen Forest hat. Also keine Gesamtstruktur.

 

Das Wort andere ist aber jetzt erst, dass erstemal gefallen bzw. war so nicht klar.

Bisher hattest Du nur Child-Domäne erwähnt.

Share this post


Link to post

Sorry - War für mich eigentlich selbstverständlich, da ich sonst forest/child domain geschrieben hätte ... :D Bei manchen SIDs steht der Logonname dabei und bei manchen nicht.

 

Gruss

Matthias

Share this post


Link to post
Bei manchen SIDs steht der Logonname dabei und bei manchen nicht.

 

Dann scheint das DNS soweit zu funktionieren. Das liegt sicherlich an dem Trust.

Teste es doch mal aus, in dem Du einen bidirektionalen Trust aufbaust.

Share this post


Link to post

Hallo

 

Einen twowaytrust dürfen wir nicht einrichten, da Incoming Domain eine produktive Bankendomain ist unter Bankenaufsicht und die andere eine Produktionsdomain. Da jedoch alle hochverfügbaren Systeme (clusters mit shared storage) über den Trust sauber funktionieren kann ein Trust Problem selbst ausgeschlossen werden.

 

(Der Trust ist merhfach überwacht).

 

Gruss,

Matthias

Share this post


Link to post

Die Objekte solltest du nicht rauslöschen, so lange der Trust besteht. hier werden Security Principlas der externen Domäne mit Zugriff auf die interne Domäne gelistet:

 

When a trust is established between a domain in a forest and a domain outside of that forest, security principals from the external domain can access resources in the internal domain. Active Directory creates a foreign security principal object in the internal domain to represent each security principal from the trusted external domain. These foreign security principals can become members of domain local groups in the internal domain. Directory objects for foreign security principals are created by Active Directory and should not be manually modified. You can view foreign security principal objects from Active Directory Users and Computers by enabling advanced features.

Quelle: Microsoft Corporation

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...