Jump to content

Vertrauensstellung zwischen 2003 Domänen klappt nicht

dvbuddy

Von dvbuddy
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

dvbuddy Experienced

dvbuddy   14

Geschrieben
Geschrieben

Hallo,

ich habe en Problem mit 2003 er Vertrauenststellung:

 

Einen Filiale mit 2 Domänen (eine Gesamtstruktur/ Dom1 , Dom2), die sich beide gegenseitig vertrauen.

 

Nun kommt ein w3k Filialserver mit einer anderen Domäne( DomFiliale) (und Gesamtstruktur) dazu. Die Betriebsmaster und die Domäne dieses Betriebes laufen noch auf 2000 und somit sind wie hier also nur auf der Ebene 2000 Pur. Der Filialserver wird über VPN mit seinem Haptbetrib verbunden.

 

Nun habe ich versucht, Bidirektionale Vertrauenstellungen mit den Domänen herzustellen. theoretisch hat es geklappt. ich habe auch die jeweiligen Domadmins den Jeweiligen Administratorengruppen zugefügt. Praktisch habe ich aber nur eingeschränkte Zugriffe.

 

Von DomFiliale kein Zugriff auf irgendwelche Ressourcen der Domänen DOM1 und Dom2.

Von den Domänen Dom1 und Dom2 habe ich zugriff auf die Ressourcen des Filialservers und den Clients der Domfiliale (auch über die Standleitung).

Ich habe aber keinen Zugriff auf die Server auf der anderen Seite der Standleitung.

 

Ein Problem der Dom1 und der DomFiliale ist es auch, das sich in beiden Domänen ein Server mit dem gleichen Netbiosnamen befindet. Der FQDN ist natürlich nicht gleich, deswegen sollte es doch trotzdem Klappen... ?

 

Ich habe zu zeit keine Idee mehr, vieleicht einer von Euch?

 

MfG dvbuddy

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben
ich habe auch die jeweiligen Domadmins den Jeweiligen Administratorengruppen zugefügt. Praktisch habe ich aber nur eingeschränkte Zugriffe.

 

Von DomFiliale kein Zugriff auf irgendwelche Ressourcen der Domänen DOM1 und Dom2.

Von den Domänen Dom1 und Dom2 habe ich zugriff auf die Ressourcen des Filialservers und den Clients der Domfiliale (auch über die Standleitung).

Dein Problem scheint hier zu liegen, aber, so aus der Ferne mit den spärlichen Infos, die du uns zugestanden hast, würde ich sagen, das Problem sitzt eher vor dem Monitor ;)

 

In welche Administratorengruppe hast du die Domänen-Admins rein? Und wo klappt dann der Zugriff nicht (ganz exakt). Die eingeschränkten Zugriffsrechte sind eigentlich ein zu erwartendes Verhalten. Wenn ich aus Dom A einen Benutzer in Dom B in die lokale Administratorengruppe stecke, dann hat er auch nur dort administrativen Zugriff, wo die lokale Administratorengruppe wohnt. Das ist auf einem MemeberServer/WS nur dieser eine Rechner. Das ist im AD (Container Builtin) nur die DCs, aber kein anderer Rechner.

 

 

grizzly999

Link zu diesem Kommentar
dvbuddy Experienced

dvbuddy   14

Geschrieben
  • Autor
Geschrieben

Hallo grizzly999,

Das mit den Administratoren hab ich nur noch zusätzlich gemacht:

DomAdmin der Domfiliale in die Administratorengruppe von DOM1 und DOM2 und umgekehrt.

 

Nun versuche ich als Domadmin auf ein Netzlaufwerk in DOM1 oder DOM2 zuzugreifen, das klappt nicht. Zugriff verweigert!

Als DOMADMIN von DOM1 oder DOM2 kann ich auf Netzlaufwerke des neuen Filialservers im gleichen Betieb zugreifen. Auch auf Netzlaufwerke von Clients im Hauptbetrieb der Domfiliale, kann ich zugreifen. Allerdings kann ich auf keinen Sever im Hauptbetrieb der DOMFiliale zugreifen.

 

User sind erst mal Nebensache... Bin ja noch am Testen...

Link zu diesem Kommentar
dvbuddy Experienced

dvbuddy   14

Geschrieben
  • Autor
Geschrieben

Habe mehrere Fehler gefunden und einige behoben:

Usernev 1058/1030 > Fehlerursache war der Ordner Sysvol war leer, keine Policys mehr!

Hab sie repliziert und den Server neu gestartet. Danach alle Vertrauensstellungen gelöscht und neu erstellt.

DCDIAG und NETDIAG laufen lassen keine Fehler (wie vorher auch).

 

Ich kann nun vom Filialserver der Domfiliale auf Ressourcen der DOM2 zugreifen. Auf die DOM1, in der der Server mit gleichem Namen steht, nicht. Hier bekomme ich den Kerberosfehler 4.

Von DOM1 und DOM zwei kann ich auf Ressourcen der Domfiliale zugreifen.

 

Nun habe ich aber ein weiteres Problem entdeckt: DNS auflösung.

DCDIAG und NETDIAG sagen mir passed.

Der Filialserver ist auch DNS Server mit ad integriertem DNS.

Wenn ich aber nslookup eingebe, sagt ermir Servername für die Adresse nicht gefunden!

Wenn ich ihn mit ping -a anpinge gibt er mir den FQDN wieder. Auch über den Namen kann ich ihn anpingen. Im Dns Server steht er sowohl in der Forward als auch in der Reverse-Lookupzone drin die _msdcs einträge sind auch vorhanden.

 

??? was nu ??? Ich wüsste nicht wo ich noch suchen sollte.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...