BalduinB 10 Geschrieben 2. April 2008 Melden Teilen Geschrieben 2. April 2008 Hallo, wir zerbrechen uns schon eine Weile den Kopf über folgendes, recht seltsames Problem: Szenario: Domäne A mit Windows 2003 und 3DCs hat einen bidirektionalen, nicht transitiven Trust mit Domäne B mit 2DCs und ebenfalls W2K3. Wir können seit ca. 2 Wochen von Domäne A aus, die User in Domäne B nicht mehr finden (wenn wir zum Beispiel versuchen eine Share für jene frei zu geben). In der umgekehrten Richtung geht es. Dies betrifft allerdings nur die Mitgliedsrechner der Domäne A. Von den DCs aus, können alle User der Domäne B gefunden werden. Dort klappt es also, aber nicht auf den Clients. Witzigerweise (eigentlich bringt es mich eher zur Verzweiflung ;)) kann man die User mit einem "Trick" doch auflösen: Dazu suche ich mir auf einem Client aus Domäne A eine Share (die auch auf einem anderen Rechner liegen kann), die für einen User aus Domäne B freigegeben ist und lasse mir die Freigabe- oder Zugriffsrechte anzeigen. Hier werden dann User aus Domäne B namentlich aufgelöst. Dann schließe ich das Fenster wieder und möchte wieder lokal eine Share einrichten und füge einen User aus Domäne B hinzu und voilà ... diesmal klappt's. Wenn wir ja nicht ca. 1000 Clients hätte wäre das ja ein etwas seltsamer aber machbarer Workaround ... mal ganz abgesehen davon, daß es so natürlich nicht sein sollte. Wir haben den Trust schon auf einige Arten geprüft, aber alle Prüfungen vom DC aus ergeben natürlich, daß alles in Ordnung ist ... von den DCs aus funktioniert es ja auch. An sich würde ich ja darauf tippen, daß die Kommunikation zwischen den Clients und den DCs der Domäne A irgendwie gestört ist ... allerdings funktioniert ja sonst auch alles. Alles was Rechner und User in Domäne A betrifft funktioniert. User können sich anmelden, Shares frei geben ... alles kein Problem. Innerhalb der Domäne B auch kein Problem, von Domäne B zu Domäne A auch kein Problem nur von A nach B gibt es das Problem, das auf den Nicht-DCs auftritt. Und irgendwie gehen mir so langsam die Ideen aus. Hat jemand eine Idee, was man noch überprüfen könnte? Wir haben auch seit einigen Monaten an der Domäne nichts wissentlich verändert. Wir haben den Trust gebrochen und wieder neu eingerichtet, keine Veränderung. Schon mal danke an die, die den Text überhaupt bis hierher gelesen haben :) BalduinB Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 2. April 2008 Melden Teilen Geschrieben 2. April 2008 Geht das Browsern auf den Rechner nur für benutzerkonten nicht, oder auch nicht für Gruppen/Computerkonten in der Domäne B? Gibt es Eventlog-Einträge auf den DCs in Dom A oder B, vor allem im Security Log (mit überwachten Fehlschlägen für Anmeldeversuche)? Schon bei einem Zugriffsversuch versucht mitzusniffen, ob die Namensauflösungen und RPC-Calls alle korrekt laufen? grizzly999 Zitieren Link zu diesem Kommentar
BalduinB 10 Geschrieben 3. April 2008 Autor Melden Teilen Geschrieben 3. April 2008 Browsen geht gar nicht. Auch auf den DCs, wo die User noch gefunden werden, klappt das nur über die Suche. Auffällige Eventlog-Einträge gibt es keine. Fehlschläge werden zur fraglichen Zeit auf keinem der DCs eingetragen. Gesnifft habe ich noch nicht ... aber werde ich dann auch mal tun. Im übrigen kommt beim Versuch einen User im Freigabedialog noch diese Fehlermeldung, wenn ich über den "Erweitert..."-Button suche: Aufgrund des folgenden Fehlers können keine Elemente angezeigt werden. Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, daß Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können. Und dann nuckel ich mal Wireshark ... wenn's denn jetzt schon mal die Version 1.0 erreicht hat ... Gruß Zitieren Link zu diesem Kommentar
BalduinB 10 Geschrieben 3. April 2008 Autor Melden Teilen Geschrieben 3. April 2008 Hab gerade nochmal für eine Share einen User freigeben wollen und habe bei der Suche nach einem User, dann so 20mal auf Suchen geklickt, damit ich auch den richtigen Eintrag im Log finde. Im Security Log einscheint dann das als Erfolg(IPs und Namen abgewandelt): Dienstticketanforderung: Benutzername: ich@DOMAIN-A.ORG Benutzerdomäne: DOMAIN-A.ORG Dienstname: DOMAIN-B.NET Dienstkennung: %{S-1-5-21-527237240-1580436667-1957994488-0} Ticketoptionen: 0x40810000 Ticketverschlüsselungstyp: 0x17 Clientadresse: 266.266.266.218 Fehlercode: - Anmelde-GUID: {3c48f6ed-bdc6-4737-a14c-0237615237f} Übertragene Dienste: - Zitieren Link zu diesem Kommentar
BalduinB 10 Geschrieben 3. April 2008 Autor Melden Teilen Geschrieben 3. April 2008 Hab nun mal mitgesnifft. Dabei ist dann doch was aufgefallen. Zur näheren Erklärung noch: Ich habe nur direkte Gewalt über Domäne A und nicht über Domäne B. So wie es ausschaut, tauschen Domäne A und mein Client ein Kerberos Ticket aus (brav). Anschließend kommt ein DNS-Query nach: _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.DOMAIN-B.NET. Dieser kann nicht aufgelöst werden. Auf der Suche, warum das so ist, habe ich rausgefunden, daß DOMAIN-B offensichtlich ein deutsches 2003 ist, während wir hier ein Englisches benutzen. Denn dort sehen auf dem DNS-Einträge so aus: _kerberos._tcp.Standardname-des-ersten-Standorts._sites.dc._msdcs.domain-b.net. bzw. alles was irgendwie bei uns Default-First-Site-Name beeinhaltet, heißt am entfernten Standort Standardname-des-ersten-Standorts. Klingt ja schon mal nicht so prickelnd. Kann man da einfach Aliase eintragen? Oder gibt es noch einen ganz anderen Ansatz? Gruß Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.