Zugriff auf eine Netzwerkressource (domänenübergreifend)

[RalphT 15]

Hallo,

 

ich habe 2 unterschiedliche Domänen. Eine Vertrauensstellung zwischen beiden Domänen ist vorhanden. Von Domäne A möchte ich auf eine Freigabe auf Domäne B zugreifen. Auf dem freigegeben Ordner habe ich eine Gruppe von Domäne A das Recht Ändern erteilt. Das funktioniert nicht. Daraufhin habe ich nur einen Nutzer von Domäne A das Recht zum Ändern des Ordners unter Sicherheitseinstellungen erteilt. Jetzt hat der Nutzer von Domäne A Zugriff auf das Laufwerk.

Die Gruppe ist vom Typ Sicherheitsgruppe - Global.

Oder arbeitet meine Vertrauenstellung nicht korrekt? Denn, wenn ich diese Überprüfen möchte, kommt eine Fehlermeldung, dass sie nicht überprüft werden konnte. Die Fehlermeldung in diesem Fenster lautet:

"Es sind momentan keine Anmeldeserver zum Verarbeiten Anmeldanforderungen verfügbar"

 

Liegt es an der evtl nicht korrekten Vertrauensstellung oder an dem Typ der Gruppe?

[Necron 71]

Hi,

 

du musst afaik an dieser Stelle universelle Gruppen verwenden.

[Stephan Betken 43]

Für die Berechtigungen sollte man besser nach dem A-G-DL-P-Prinzip vorgehen. Die Namensauflösung funktioniert domainübergreifend?

[RalphT 15]

@necron:

hatte ich schon probiert. Aber wenn ich auf Domäne A das als universelle Gruppe angelegt habe, dann konnte ich beim Suchen der Sicherheitsberechtigen nicht diese gerade erstellte Gruppe sehen. Die Gruppe war nur sichtbar, wenn sie vom Typ Sicherheitsgruppe Global ist.

 

@Stephan Betken:

Die Namensauflösung funktioniert auf beiden Domänen tadellos. Auf Domäne A kann ich über nslookup jedes Gerät auflösen und umgekehrt.

 

Kurz vor Feierabend hatte der Zugriff seltsamerweise funktioniert. Ich habe nichts verändert.

Allerdings werde ich das Gefühl nicht los, dass das doch etwas mit der Vertrauensstellung zu tun hat. Denn man kann diese ja überprüfen. Nachdem ich zum überprüfen, das Administratorpasswort eingegeben habe, kam die Meldung, dass die Vertrauensstellung verifiziert sei. Ich habe gleich danach wieder eine Überprüfung angeschoben. Danach war die Überprüfung nicht ok. Fehlermeldung wie schon oben genannt.

Nach dieser Fehlermeldung habe ich mal gesucht und Microsoft schreibt, dass es sich um ein Problem bei der WINS-Replizierung handelt.

Diese Replizierung hatte ich schon vorher eingerichtet. Ein Blick in das Ereignisprotokoll bestätigt, dass die Replizierung unterbrochen worden ist.

Ich werde morgen mal nach der Microsoft Anleitung die Replizierung erneut einrichten.

 

Oder liege ich hier falsch und beseitige nur einen anderen Fehler, der hiermit nichts zu tun hat?

[Necron 71]

@necron:

hatte ich schon probiert. Aber wenn ich auf Domäne A das als universelle Gruppe angelegt habe, dann konnte ich beim Suchen der Sicherheitsberechtigen nicht diese gerade erstellte Gruppe sehen. Die Gruppe war nur sichtbar, wenn sie vom Typ Sicherheitsgruppe Global ist.

Sorry geht natürlich auch mit Globalen Gruppen, nach dem Prinzip welches Stephan schon gepostet hat.

[Stephan Betken 43]

Nach dieser Fehlermeldung habe ich mal gesucht und Microsoft schreibt, dass es sich um ein Problem bei der WINS-Replizierung handelt.

In welches Jahr bist du da denn abgebogen? ;)

Obwohl... hast ja nicht angegeben, was für Domänen eingesetzt werden. Kannst ja mal nach der WINS-Replikation schauen (bei NT-Domänen kann es sogar daran liegen).

 

Gab es die Gruppe, die du berechtigt hast, schon länger oder hast du sie neu erstellt?

[RalphT 15]

In welches Jahr bist du da denn abgebogen?

Naja, mir kam dieser Artikel beim Googeln unter. U.A. steht dort dieses, welches mich zutrifft.

 

Fehler: "Es stehen momentan keine Anmeldeserver zur Verfügung"

 

Dieses Problem tritt am häufigsten in Umgebungen auf, in denen der Systemadministrator eine bidirektionale Vertrauensstellung zwischen zwei zuvor unabhängigen Domänen erstellt hat. Meistens sind WINS-Server in beiden Domänen enthalten, replizieren ihre Datenbanken jedoch nicht gegenseitig.

 

Gab es die Gruppe, die du berechtigt hast, schon länger oder hast du sie neu erstellt?

Diese Gruppe wurde gerade erstellt. Beim Testen ist mir folgendes aufgefallen:

Eine Globale Sicherheitsgruppe auf DC von Domäne A angelegt. Dort einen User hinzugefügt. Auf Domäne B einen Ordner freigegeben und unter den Sicherheitseinstellungen dieses Gruppe von Domäne A hinzugefügt.

Der Zugriff funktioniert erst mal nicht. Nach ca. 10- 15 Min und WINS Replizierung funktioniert der Zugriff.

Bei der Kontrolle unter den Sicherheitseinstellungen auf dem Ordner ist nach einer gewissen Zeit der Name der Globalen Sicherheitsgruppe weg. Statt dessen wird nur die SID-Nummer dort angezeigt.

Irgenwie muss es bei der Replizierung Probleme geben oder warum ist der Gruppenname weg und nur dessen SID sichtbar?

Ich könnte ja mal komplett auf WINS verzichten. Mal sehen was denn passiert.

[Stephan Betken 43]

Der genannte Artikel bezieht sich auf Windows NT, wo für die Namensauflösung in Domänen noch WINS genutzt wurde. Ab Windows 2000 ist "nur" eine domainübergreifende DNS-Namensauflösung notwendig.

 

Der Benutzer, der zur neuen Gruppe hinzugefügt wurde, hat sich nach dem Hinzufügen aber schon neu angemeldet?

[RalphT 15]

Ich habe mir den Artikel noch mal genauer durchgelesen. Da ich kein NT habe, kann ich ja die Replizierung von WINS stoppen.

Der Benutzer, der zur neuen Gruppe hinzugefügt wurde, hat sich nach dem Hinzufügen aber schon neu angemeldet?

Auf jeden Fall. Habe sogar mehrmals einen Neustart gemacht. Auch ein GPUPDATE /FORCE. Das brachte aber nichts.

 

Was mich doch jetzt sehr stutzig macht, dass die Gruppe, die ich bei den Berechtigungen hinzugefügt habe, nach einer gewissen Zeit nur noch als eine SID-Nummer erscheint.

Aber der Zugriff funktioniert schon seit Stunden. Allerdings habe ich dabei ein schlechtes Gefühl, weil ich nicht weiß, wie lange das noch funktioniert.

[Stephan Betken 43]

Da ich kein NT habe, kann ich ja die Replizierung von WINS stoppen.

Moment. WINS ist für Vertrauensstellungen nicht notwendig, wenn alle Domänen Windows 2000 oder höher sind. Das heißt nicht, dass man auf WINS verzichten sollte.

Was mich doch jetzt sehr stutzig macht, dass die Gruppe, die ich bei den Berechtigungen hinzugefügt habe, nach einer gewissen Zeit nur noch als eine SID-Nummer erscheint.

Schau mal, ob der Eintrag im Container ForeignSecurityPrincipals auch nicht mehr vorhanden ist.

[RalphT 15]

Moment. WINS ist für Vertrauensstellungen nicht notwendig, wenn alle Domänen Windows 2000 oder höher sind. Das heißt nicht, dass man auf WINS verzichten sollte.

Ok, das hatte ich so vor.

Schau mal, ob der Eintrag im Container ForeignSecurityPrincipals auch nicht mehr vorhanden ist.

Ich sehe heute nachmittag mal nach. Habe jetzt keine Zeit dazu.

[lefg 276]

....Oder arbeitet meine Vertrauenstellung nicht korrekt? Denn, wenn ich diese Überprüfen möchte, kommt eine Fehlermeldung, dass sie nicht überprüft werden konnte. Die Fehlermeldung in diesem Fenster lautet: "Es sind momentan keine Anmeldeserver zum Verarbeiten Anmeldanforderungen verfügbar ...?

Hallo,

 

kann es sein, die Namensauflösung funktioniert nicht (?immer?) domänenübergreifend?

[RalphT 15]

kann es sein, die Namensauflösung funktioniert nicht (?immer?) domänenübergreifend?

 

Ich glaube es auch, dass DNS nicht so arbeitet, wie es arbeiten soll. Ich teste das nacher noch einmal alles mit NSLOOKUP und melde dazu später noch ein mal. Vielleicht habe ich dort etwas nicht richtig konfiguriert.

[Necron 71]

Sind denn Stubzones oder bedingte Weiterleitungen eingerichtet?

[lefg 276]

Wurden die Clients in der eigenen Domäne mal mit netdiag geprüft, die Controller mit dcdiag und netdiag?