Roi Danton 10 Posted August 8, 2003 Report Posted August 8, 2003 Hi, ich habe hier ein nettes Phänomen für Euch. Ich habe 3 Domänen. Zwei NT4 Domänen und eine Windows 2000 Domäne die im Nativmode läuft. Jede NT Domäne hat eine beidseitige Vertrauensstellung NUR mit der Windows 2000 Domäne. Soweit so gut! Jetzt kann sich jedoch jeder NT4 User einer Domäne an der anderen NT4 Domäne anmelden. (Zwar ohne Profil aber es geht) Ich weise noch mal darauf hin, dass die NT4 Domänen keine Verbindung untereinander haben. Sie befinden sich jeweils in einem anderen physikalischem Netzwerksegment. In der W2k Domäne ist auch (bei AD-Domänen und –Vertrauensstellungen) nichts von irgenwelchen transitiven Domänen zu finden. Was meiner Meinung nach eh nicht mit NT4 Domänen klappt. Hat irgendwer von Euch ne Idee woran das liegen kann ??? Gruß, Roi Danton Quote
grizzly999 11 Posted August 8, 2003 Report Posted August 8, 2003 Anmelden in dieser Weise: User1 aud DomA (NT) sitzt an einem Rechner in DomB (NT 4.0) und kann beim Anmelden im Domänenauswahlfenster DomA auswählen? grizzly999 Quote
Roi Danton 10 Posted August 8, 2003 Author Report Posted August 8, 2003 Genau so sieht es aus. Und keine Vertrauenstellung zwischen DomA und DomB. Nur zwischen DomA und DomC (W2k) und zwischen DomB und DomC (jedoch nicht transitiv da unter NT nicht möglich) Quote
Jim di Griz 13 Posted August 8, 2003 Report Posted August 8, 2003 Ich weise noch mal darauf hin, dass die NT4 Domänen keine Verbindung untereinander haben. den Satz find ich hier missverstaendlich, Verbindung ist ein sehr weiter Begriff. beide haben Konten auf dem w2000-domänencontroller, der in beiden Netzsegmenten zu sehen ist? Quote
grizzly999 11 Posted August 8, 2003 Report Posted August 8, 2003 Und keine Vertrauenstellung zwischen DomA und DomB. Ich glaube dir, ich frag leiber nochmal: gaaaanz sicher ;) :rolleyes: Keine Ahnung, dürfte nicht gehen... grizzly999 Quote
Jim di Griz 13 Posted August 8, 2003 Report Posted August 8, 2003 Ganz vielleicht: Hast du die Maschinen erst kuerzlich in den Domänen verteilt? möglicherweise gecachte Versionen alter Profile aus anderen Domänen vorhanden? Quote
Roi Danton 10 Posted August 8, 2003 Author Report Posted August 8, 2003 Bin gaaaaaaaaaaaaaaaz 1000%tig sicher. Keine Vertrauenstellung zwischen DomA und DomB Weiterhin: Kein Verbingung miteinander bedeutet: Keine direkte Verbingung zwischen den Teilnetzen möglich. (Was die NT4 Domänen betrifft) Ziwschen jeder NT4 Domäne und der W2k Domäne ist uneingeschränkte Kommunikation möglich. Zwischen den Teilnetzen steht ne Firewall da geht nix hin und nix her. Das einzige was die beiden NT4 Domänen können, ist mit dem DC in der W2k Domäne reden. Dort läuft ein DNS-Server sowie ein WINS Server auf den alle 3 Domänen zugreifen könne. Die W2k Domäne befindet sich alleine in einem eigenen Subnetz, wie jede NT4 Domäne. Quote
Roi Danton 10 Posted August 8, 2003 Author Report Posted August 8, 2003 Noch zu ergänzen ist, auf dem W2k Server läuft auch kein Routing und RAS. Das heist es währe auch nicht möglich aus einer der NT4 Domänen über den W2k Server einen NT4 Rechner aus der jeweils anderen Domäne zu adressieren. Quote
grizzly999 11 Posted August 8, 2003 Report Posted August 8, 2003 Hallo Roi, ich habe das gerade mal nachgebaut, ohne die FWs halt. Das Ergebnis wie erwartet => no chance. Ich bekomme keine VS zwischen DomA und DomB, nur jeweils zwischen der einen NT und der W2k Domäne. Auch keine dritte Domäne ausser denbeiden vetrauten beim Anmeldebildsschrim, auch keine dritte Domäne zur Auswahl bei Sicherheitseinstellungen. Es wäre mir auch nichts diesbezüglich bekannt (von wegen Bug oder ähnliches). Ich bin ratlos. Irgendwie muss da eine VS zwischen den Domänen bestehen. Gibt oder gab es denn noch eine Verbindung hintenrum über eine andere Leitung. Sind die Domänen frisch aufgebaut? grizzly999 Quote
Roi Danton 10 Posted August 8, 2003 Author Report Posted August 8, 2003 Danke grizzly999, für Deine Hilfe! Ich bin der Sache auf den Grund gekommen. Das Problem lag zwischen den Ohren! Es ist so dass die beiden NT Domänen tatsächlich immer nebeneinander existiert haben. Jetzt haben wir die Migration auf W2k begonnen mit einer 3ten Domain. In dieser Domain ist nur ein DC als RIS Server aufgesetzt. Jetzt werden erst mal alle Clients auf W2k umgerüstet (via RIS) Die User arbeiten weiterhin mit Ihrem NT4 Account. Das Problem lag jetzt im Kopf! Die Nutzer haben für mich immer noch in DomA gearbeitet. Wo sich ja physikalisch auch sind! Da aber die Clients der W2k Domain angehören und diese der DomA und DomB vertrauen, ist es logisch das sich aus jeder Domain die User anmelden können. Auf den Client steht in der Hauptnutzer Gruppe die jeweilige DomUserGroup von DomA bzw. DomB. Aber in der Benutzer Gruppe stehen die „Authentifizierten Nutzer“! Deshalb können die User sich anmelden. Blöde…. Na ja. Aber baue ich mir jetzt eine Richtlinie für jede OU wo sich nur die User der DomA bzw. DomB anmelden können? Oder schmeiße ich die „Authentifizierten Nutzer“ aus der Benutzer Gruppe? Gruß und Dank, Roi Danton Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.