Jump to content

Zugriff auf eine Netzwerkressource (domänenübergreifend)

RalphT

Von RalphT
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

RalphT Mentor

RalphT   15

Geschrieben
  • Autor
Geschrieben

Ich hatte im Container ForeignSecurityPrincipals nachgesehen. dort liegen z. Z. 4 Einträge vom Typ "fremder Sicherheitsprinzipal" vorhanden. Da ich dort so gut wie nie nachsehe, waren mir diese Einträge etwas suspekt. Unter Asiedit konnte ich erkennen, dass diese Einträge schon älter sind. Einmem aktuellen Eintrag konnte ich daher nicht erkennen.

 

Ich habe die DNS wie Folgt konfiguriert: In Domäne A habe ich eine sekundäre Zone von Domäne B eingerichtet und umgekehrt. Das Gleiche gilt für die Reverse Zonen.

Ich habe in Domäne A den Client1 und in Domäne B den Server1. Domäne A nennt sich Hamburg.meinefirma.de und Domäne B heißt meinladen.de

 

Mit nslookup habe ich folgende Tests durchgeführt:

 

In Domäne A:

client1 - Hier kam als Ergebnis Client1.hamburg.meinefirma.de zurück. Ich denke soweit ok.

server1 - Hier konnte nslookup diesen Namen nicht auflösen. Ich weiß nicht, ob das richtig ist, denn gebe ich

server1.meinladen.de - Dann kann nslookup auflösen.

 

In Domäne B ist das Verhalten genauso. Für mich stellt sich jetzt die Frage, ob man den FQDN komplett für die andere Domäne eingeben muss oder habe ich hier einen DNS-Fehler?

 

Nochmal zum Zugriff auf den Ordner:

Lege ich die Gruppe neu an und füge der Gruppe einen alten User hinzu, dann beim Client erst einmal kein Zugriff möglich. Nach ca. 10 oder 15 Minuten ist der Zugriff möglich.

Dieser Zugriff scheint dauerhaft zu funktionieren.

In den Sicherheitseinstelllungen des freigegeben Ordners hatte ich schon weiter oben geschrieben, dass statt des Gruppennamens nur dessen SID erscheint. Heute habe ich festgestellt, dass mal der Gruppenname wieder da steht und irgend wann nur dessen SID.

 

Ich habe mich jetzt nicht für eine bedingte Weiterleitung entschieden, da Bandbreite hier kein Problem darstellt. Oder ist meine DNS Konfiguration falsch?

 

@lefg Ich sehe gerade Antwort. Nein das hatte ich noch nicht gemacht. Kann ich morgen aber schnell machen.

Link zu diesem Kommentar
Stephan Betken Grand Master

Stephan Betken   43

Geschrieben
Geschrieben
Ich hatte im Container ForeignSecurityPrincipals nachgesehen. dort liegen z. Z. 4 Einträge vom Typ "fremder Sicherheitsprinzipal" vorhanden. Da ich dort so gut wie nie nachsehe, waren mir diese Einträge etwas suspekt. Unter Asiedit konnte ich erkennen, dass diese Einträge schon älter sind. Einmem aktuellen Eintrag konnte ich daher nicht erkennen.

Standardmäßig sind da immer ein paar well-known-SIDs enthalten. Das ist also normal.

Für den berechtigten User bzw. die berechtigte Gruppe wird normalerweise automatisch ein Eintrag angelegt, wenn die Berechtigung an einer Ressource erteilt wird. Afaik wird dieser auch nicht automatisch gelöscht und bleibt also auch vorhanden, wenn es im Nachhinein Probleme mit der DNS-Auflösung gibt.

 

Berechtige mal eine andere Gruppe der vertrauten Domäne und schau nach, ob dort ein Eintrag erstellt wird.

Für mich stellt sich jetzt die Frage, ob man den FQDN komplett für die andere Domäne eingeben muss oder habe ich hier einen DNS-Fehler?

Ist soweit korrekt, aber ich würde trotzdem Stubzones bevorzugen.

Link zu diesem Kommentar
RalphT Mentor

RalphT   15

Geschrieben
  • Autor
Geschrieben (bearbeitet)

DCDIAG und NETDIAG habe ich auf beiden DCs laufen lassen. Keine Fehlermeldungen.

Nachdem ich gestern noch einen kleinen Fehler in der DNS behoben hatte, lassen sich jetzt auch auf beiden DCs die Vertrauensstellungen überprüfen. Da gab es ja vorher immer Probleme. Jetzt wird immer bestätigt, dass die Vertrauensstellung aktiv ist. Das ist ja schon mal ein Fortschritt.

 

Berechtige mal eine andere Gruppe der vertrauten Domäne und schau nach, ob dort ein Eintrag erstellt wird.

Das habe ich gerade gemacht. Ich nehme an, dass ich im Ordner ForeignSecurityPrincipals nachsehen soll, ob dort ein Eintrag erstellt wird. Das habe ich gemacht und es gab hier auf beiden Seiten keine Änderung.

Allerdings gibt es hier eine positive Änderung: Vorher war es so, dass der Zugriff anfangs für ca. 15 Min nicht möglich war. Hier ist beim Client der Zugriff sofort möglich.

Allerdings ist unter den Sicherheitseinstellungen immer noch das Phänomen, dass statt des Gruppennamens dessen SID angezeigt wird.

Wenn dieser Fehler jetzt nochweg wäre, dann wäre das Problem gelöst.

Es sieht hier nur noch nach ein Schönheitsproblem aus, aber ich habe dabei kein gutes Gefühl.

 

Nachtrag: Der Wechsel der Anzeige nur SIDs zu Gruppennamen scheint sich alle 90 Minuten zu ändern.

bearbeitet von RalphT
Link zu diesem Kommentar
RalphT Mentor

RalphT   15

Geschrieben
  • Autor
Geschrieben

So, jetzt habe ich den Zugriff nach dem A-G-DL-P Prinzip eingerichtet. Am Client war zunächst kein Zugriff möglich, nach dem Neustart funktionierte es.

Im Containe ForeignSecurityPrincipals ist ein neuer Eintrag hinzugekommen. Dieser Eintrag wird als SID angezeigt. es gibt dort auch die Spalte Anzeigename. In dieser Spalte nichts angezeigt. Ich habe es vorhin auch schon beobachtet, dass dort ein Ort zu hinterlegt war. Weiterhin ist mir folgender Effekt aufgefallen: Sehe ich mir in der Domänenlokale Gruppe die Mitglieder an (hier ist es nur eine Globale Gruppe aus der fremden Domäne), dann wird mir zw. nur die SID angezeigt. Etwas später steht der Gruppenname aus der fremden Domäne da.

Also auch wieder dieser komische Effekt, dass es ca. alle 90 Minuten richtig angezeigt wird und danach immer nur als SID.

Es scheint so, dass das Problem entweder DNS oder anderer Natur ist.

Ich weiß nicht,ob das für das Problem relevant ist, dass ich über ein VPN auch noch andere DCs habe.

In einer Domäne habe ich in der Hauptgeschäftsstelle zwei DCs und in der Zweigstelle auch zwei DCs. Sowohl in der Hauptgeschäftsstelle als auch in der Zweigstelle habe jeweils einen DC zum Globalen Katalogserver gemacht.

In der anderen Domäne gibt es nur zwei DCs.

Link zu diesem Kommentar
Stephan Betken Grand Master

Stephan Betken   43

Geschrieben
Geschrieben
Sowohl in der Hauptgeschäftsstelle als auch in der Zweigstelle habe jeweils einen DC zum Globalen Katalogserver gemacht.

Die Anbindung anderer DCs über VPN ist nicht wirklich relevant. Da nicht alle DCs auch GC sind (warum eigentlich nicht): der Infrastrukturmaster ist aber nicht GC?

Sind das getrennte Forests oder sind beide Domänen in einen Forest?

Link zu diesem Kommentar
RalphT Mentor

RalphT   15

Geschrieben
  • Autor
Geschrieben

Ich hatte gestern auf allen DCs den Globalen Katalog Server aktiviert. Gleich anschließend gestestet - aber ohne Erfolg. Na gut dachte ich, man muss Geduld mitbringen und habe es heute vormittag beobachtet. Es funktioniert jetzt einwandfrei. Die Fehlerursache lag tatsächlich darin, dass Infrastrukturmaster und Globaler Katalogserver nicht richtig verteilt waren.

Danke für die Hilfe.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...