Jump to content

Probleme beim Erstellen einer Vertrauensstellung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hi,

 

ich hab ein Problem beim erstellen einer Vertrauensstellung zwischen zwei unabhängigen Domänen.

Ich vermute ein banales Problem, aber ich komme einfach nicht drauf. Vielleicht kann mir jemand helfen?

 

Domäne A:

Zwei Domänencontroller mit "Windows Server 2003 Std. R2 SP2"

Domänenfunktionsebene "Windows Server 2003"

Gesamtstrukturfunktionsebene: "Windows 2000"

 

Domäne B:

Zwei Domänencontroller mit "Windows Server 2003 Ent. SP2" (KEIN R2)

Domänenfunktionsebene "Windows 2000 gemischt"

Gesamtstrukturfunktionsebene: "Windows 2000"

 

Die beiden Domänen haben erst einmal NICHTS miteinander zu tun. Befinden sich in unterschiedlichen Netzen, welche geroutet werden.

Da bekanntlich das erste Problem die Namensauflösung ist, habe ich mir DNS zur Brust genommen, und auf den DNS-Servern (AD-integriert) jeweils eine Sekundäre-Zone erstellt.

DNS-Server der Domäne A hat eine Sekundäre-Zone der Domäne B

DNS-Server der Domäne B hat eine Sekundäre-Zone der Domäne A

Das funktioniert auch wunderbar, DNS einträge werden aktuallisiert, alles super!

 

Die DNS Auflösung funktioniert "eigentlich" auch.

"eigentlich" bedeutet das Domäne A von einem Rechner aus Domäne B aufgelöst werden kann, jedoch erst nach einem ersten Timeout:

Der Timeout entsteht dadurch, das wenn ich Domäne A auflösen möchte, erst einmal der suffix von Domäne B angehängt wird.

Beim zweiten Versuch wird dieser weg gelassen und die Auflösung funktionert.

Natürlich kann ich dieses Phänomen ausschließen, in dem ich den FQDN mit einem "." abschließe.

 

Dieses Auflöseverhalten ist in beiden Richtungen identisch.

 

Ich schließe also erst einmal eine DNS-Fehlfunktion aus! > richtig?

 

Das eigentliche Problem tritt bei der Erstellung der Vertrauensstellung auf

Beim eingeben der Domäne zu welcher ich eine Vertrauensstellung erstellen möchte verhält es sich auf beiden Severn unterschiedlich:

 

Einrichtung auf Domäne A:

Beim eingeben der Domäne B und einem klicka auf "Weiter" springe ich sofort zum nächsten Fenster in dem ich eingeben kann ob "Bidirektional", "Uni-eingehend" oder "Uni-ausgehend".

Nach der Wahl muss ich ein "Vertrauensstellungskennwort" angeben -> erfolgreich

Im nächsten Schritt muss die Vertrauensstellung von der Gegenseite bestätigt werden, nach eingabe der Administrator-Zugangsdaten der Domäne B kommt jedoch die Fehlermeldung:

"Die Angegebene Domäne ist nicht Verfügbar"

 

Einrichtung auf Domäne B:

Beim eingeben der Domäne B und einem klicka auf "Weiter" entsteht eine verzögerung (??Namensauflösung??) und das nächste Fenster stellt mir vor die Frage ob ich eine "Bereichsvertrauensstellung" oder eine "Vertrauensstellung mit einer Windows-Domäne" erstellen möchte. Bei Angabe der "Windows-Domäne" kann der Vorgang nicht vortgesetzt werden da die Domäne nicht gefunden werden kann.

 

Es macht mir hier den Eindruck das Domäne A zwar Domäne B erreicht, aber Domäne B die Domäne A nicht!

 

Kann mir hier jemand Sagen woran das liegt?

 

Vielen Dank schon einmal vorweg!

Link to comment

Moin,

 

prüfe, ob du durch NetBIOS-Namensauflösung (WINS oder notfalls LMHosts) das Problem in den Griff kriegst.

 

Evtl. könnte auch beitragen, Domäne B auf den 2003-Native-Mode umzuschalten. Der Mixed Mode unterstützt noch NT, da kann es evtl. sein, dass es Abhängigkeiten zu NetBIOS gibt.

 

Wie hast du die Namensauflösung geprüft?

 

Gruß, Nils

Link to comment

prüfe, ob du durch NetBIOS-Namensauflösung (WINS oder notfalls LMHosts) das Problem in den Griff kriegst.

In den Domänen existiert kein WINS... das mit der LMHosts werde ich gleich einmal testen.... Feedback in 10 min.

 

Evtl. könnte auch beitragen, Domäne B auf den 2003-Native-Mode umzuschalten. Der Mixed Mode unterstützt noch NT, da kann es evtl. sein, dass es Abhängigkeiten zu NetBIOS gibt.

Habe die Domäne zu "Windows Server 2003" heraufgestuft... hat jedoch keine abhilfe geschaffen

 

Wie hast du die Namensauflösung geprüft?

 

nslookup

set debug

set debug2

 

Als antwort auf die Anfrage nach dem Domänennamen bekomme ich, nach dem ersten timeout, die beiden DCs bzw. DNS-Server als Antwort.

 

Eine Verbindung auf Netzressourcen: \\DomänaA.local und der Angabe des Benutzers DomäneA.local\Administrator bekomme ich auf Zugriff

Link to comment
Warum nicht bedingte Weiterleitungen zur jeweils anderen Zone?

 

DNS and NetBIOS Name Resolution to Create External, Realm and Forest Trusts

 

naja, entweder oder!?!? :confused:

 

Aber das werde ich doch auch gleichmal testen...

ich habe hier noch eine dritte domäne, mit der ich einmal die Vertrauensstellung testen werden, um ggf. eine der Beiden Domänen A oder B als Fehlerquelle auszuschließen... >> Ausschlussverfahren!

Link to comment

Servus,

 

Korrekt. Ich arbeite allerdings stets mit bedingten Weiterleitungen. Scheint mir der einfachere Weg zu sein, zudem erlauben die internen Administratoren meistens keine Zonentransfers.

 

na aber sowas von "Hallo"! Natürlich ist die bedingte Weiterleitung die einfachste Variante und vor allem die Admin freundlichste Variante. ;).

Link to comment

hey...

 

also ich habe jetzt die bedingte weiterleitung eingerichtet (natürlich die Sek.Zonen gelöscht).

 

Die DNS auflösung funktioniert weiterhin wie gehabt (erst timeout, dann treffer)

 

Das Problem besteht aber weiterhin.

Auch der Test mit der dritten Domäne, resultiert in ähnlichhen Problemen.

Der Unterschied ist aber ejtzt, das ich bei der ersten Angabe der "zu Vertrauenden Domäne" zur Auswahl komme ob ich eine Uni oder Bi-direktionale Vertrauensstellungen einrichten möchte.

 

Nachdem ich die Vertrauensstellung von der gegenseite jedoch Bestätigen lassen soll, kommt wieder der Fehler das die Domäne nicht verfügbar ist :(

 

ich dreh noch am rad....

 

aber erstmal großen Dank für die Hilfe bisher, die bedingte Weiterleitung ist wirklich schöner, als eine Sekundäre Zone!

 

Habt ihr weitere Hilfreiche Tipps für mich?

Link to comment
Wie sind die DNS-Suffixsuchlisten konfiguriert?

 

Jetzt steh ich auf dem Schlauch, was meinst du damit?

also die Weiterleitung ist jeweils so konfiguiert:

 

Auf beiden DNS-Server dern Domäne A:

DNS-Domäne: B.local -> die beiden DC/DNS Server der Domäne B

 

Auf beiden DNS-Server der Domäne B:

DNS-Domäne:A.local -< die beiden DC/DNS Server der Domäne A

 

Was passiert bei ping?

 

Ping funktioniert sowohl mit IP, wie auch DNS-Namen (Domänenname, also A.local oder B.local) in beide Richtungen, Aufgelöst wird der Domänenname mit einem der beiden IP-Adressen der beiden DC/DNS Server (Round Robin?)

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...