UsualSuspect 10 Posted February 1, 2011 Report Share Posted February 1, 2011 Hi, ich hab ein Problem beim erstellen einer Vertrauensstellung zwischen zwei unabhängigen Domänen. Ich vermute ein banales Problem, aber ich komme einfach nicht drauf. Vielleicht kann mir jemand helfen? Domäne A: Zwei Domänencontroller mit "Windows Server 2003 Std. R2 SP2" Domänenfunktionsebene "Windows Server 2003" Gesamtstrukturfunktionsebene: "Windows 2000" Domäne B: Zwei Domänencontroller mit "Windows Server 2003 Ent. SP2" (KEIN R2) Domänenfunktionsebene "Windows 2000 gemischt" Gesamtstrukturfunktionsebene: "Windows 2000" Die beiden Domänen haben erst einmal NICHTS miteinander zu tun. Befinden sich in unterschiedlichen Netzen, welche geroutet werden. Da bekanntlich das erste Problem die Namensauflösung ist, habe ich mir DNS zur Brust genommen, und auf den DNS-Servern (AD-integriert) jeweils eine Sekundäre-Zone erstellt. DNS-Server der Domäne A hat eine Sekundäre-Zone der Domäne B DNS-Server der Domäne B hat eine Sekundäre-Zone der Domäne A Das funktioniert auch wunderbar, DNS einträge werden aktuallisiert, alles super! Die DNS Auflösung funktioniert "eigentlich" auch. "eigentlich" bedeutet das Domäne A von einem Rechner aus Domäne B aufgelöst werden kann, jedoch erst nach einem ersten Timeout: Der Timeout entsteht dadurch, das wenn ich Domäne A auflösen möchte, erst einmal der suffix von Domäne B angehängt wird. Beim zweiten Versuch wird dieser weg gelassen und die Auflösung funktionert. Natürlich kann ich dieses Phänomen ausschließen, in dem ich den FQDN mit einem "." abschließe. Dieses Auflöseverhalten ist in beiden Richtungen identisch. Ich schließe also erst einmal eine DNS-Fehlfunktion aus! > richtig? Das eigentliche Problem tritt bei der Erstellung der Vertrauensstellung auf Beim eingeben der Domäne zu welcher ich eine Vertrauensstellung erstellen möchte verhält es sich auf beiden Severn unterschiedlich: Einrichtung auf Domäne A: Beim eingeben der Domäne B und einem klicka auf "Weiter" springe ich sofort zum nächsten Fenster in dem ich eingeben kann ob "Bidirektional", "Uni-eingehend" oder "Uni-ausgehend". Nach der Wahl muss ich ein "Vertrauensstellungskennwort" angeben -> erfolgreich Im nächsten Schritt muss die Vertrauensstellung von der Gegenseite bestätigt werden, nach eingabe der Administrator-Zugangsdaten der Domäne B kommt jedoch die Fehlermeldung: "Die Angegebene Domäne ist nicht Verfügbar" Einrichtung auf Domäne B: Beim eingeben der Domäne B und einem klicka auf "Weiter" entsteht eine verzögerung (??Namensauflösung??) und das nächste Fenster stellt mir vor die Frage ob ich eine "Bereichsvertrauensstellung" oder eine "Vertrauensstellung mit einer Windows-Domäne" erstellen möchte. Bei Angabe der "Windows-Domäne" kann der Vorgang nicht vortgesetzt werden da die Domäne nicht gefunden werden kann. Es macht mir hier den Eindruck das Domäne A zwar Domäne B erreicht, aber Domäne B die Domäne A nicht! Kann mir hier jemand Sagen woran das liegt? Vielen Dank schon einmal vorweg! Quote Link to comment
NilsK 2,946 Posted February 1, 2011 Report Share Posted February 1, 2011 Moin, prüfe, ob du durch NetBIOS-Namensauflösung (WINS oder notfalls LMHosts) das Problem in den Griff kriegst. Evtl. könnte auch beitragen, Domäne B auf den 2003-Native-Mode umzuschalten. Der Mixed Mode unterstützt noch NT, da kann es evtl. sein, dass es Abhängigkeiten zu NetBIOS gibt. Wie hast du die Namensauflösung geprüft? Gruß, Nils Quote Link to comment
UsualSuspect 10 Posted February 1, 2011 Author Report Share Posted February 1, 2011 prüfe, ob du durch NetBIOS-Namensauflösung (WINS oder notfalls LMHosts) das Problem in den Griff kriegst. In den Domänen existiert kein WINS... das mit der LMHosts werde ich gleich einmal testen.... Feedback in 10 min. Evtl. könnte auch beitragen, Domäne B auf den 2003-Native-Mode umzuschalten. Der Mixed Mode unterstützt noch NT, da kann es evtl. sein, dass es Abhängigkeiten zu NetBIOS gibt. Habe die Domäne zu "Windows Server 2003" heraufgestuft... hat jedoch keine abhilfe geschaffen Wie hast du die Namensauflösung geprüft? nslookup set debug set debug2 Als antwort auf die Anfrage nach dem Domänennamen bekomme ich, nach dem ersten timeout, die beiden DCs bzw. DNS-Server als Antwort. Eine Verbindung auf Netzressourcen: \\DomänaA.local und der Angabe des Benutzers DomäneA.local\Administrator bekomme ich auf Zugriff Quote Link to comment
dmetzger 10 Posted February 1, 2011 Report Share Posted February 1, 2011 Da bekanntlich das erste Problem die Namensauflösung ist, habe ich mir DNS zur Brust genommen, und auf den DNS-Servern (AD-integriert) jeweils eine Sekundäre-Zone erstellt. Warum nicht bedingte Weiterleitungen zur jeweils anderen Zone? DNS and NetBIOS Name Resolution to Create External, Realm and Forest Trusts Quote Link to comment
UsualSuspect 10 Posted February 1, 2011 Author Report Share Posted February 1, 2011 Warum nicht bedingte Weiterleitungen zur jeweils anderen Zone? DNS and NetBIOS Name Resolution to Create External, Realm and Forest Trusts naja, entweder oder!?!? :confused: Aber das werde ich doch auch gleichmal testen... ich habe hier noch eine dritte domäne, mit der ich einmal die Vertrauensstellung testen werden, um ggf. eine der Beiden Domänen A oder B als Fehlerquelle auszuschließen... >> Ausschlussverfahren! Quote Link to comment
UsualSuspect 10 Posted February 1, 2011 Author Report Share Posted February 1, 2011 aber ich fahr jetzt erstmal nach hause und hau mir was zwischen die Zähne... mach dann remote weiter, werde eure Vorschläge erst einmal durchtesten und dann noch die oben erwähnte vertrauensstellung zur dritten Domäne durchspielen... Feedback kommt! Quote Link to comment
dmetzger 10 Posted February 1, 2011 Report Share Posted February 1, 2011 naja, entweder oder!?!? :confused: Korrekt. Ich arbeite allerdings stets mit bedingten Weiterleitungen. Scheint mir der einfachere Weg zu sein, zudem erlauben die internen Administratoren meistens keine Zonentransfers. Es genügt ja, wenn zwei oder drei DNS-Server der Gegenseite bekannt und erreichbar sind. Quote Link to comment
Daim 12 Posted February 1, 2011 Report Share Posted February 1, 2011 Servus, Korrekt. Ich arbeite allerdings stets mit bedingten Weiterleitungen. Scheint mir der einfachere Weg zu sein, zudem erlauben die internen Administratoren meistens keine Zonentransfers. na aber sowas von "Hallo"! Natürlich ist die bedingte Weiterleitung die einfachste Variante und vor allem die Admin freundlichste Variante. ;). Quote Link to comment
dmetzger 10 Posted February 1, 2011 Report Share Posted February 1, 2011 Natürlich ist die bedingte Weiterleitung die einfachste Variante und vor allem die Admin freundlichste Variante. ;). Da stimmen wir völlig überein. :) Bedingte Weiterleitungen sind genial. :cool: Wäre nie selbst auf die Idee gekommen, einen Zonentransfer zu veranstalten. :rolleyes: Quote Link to comment
UsualSuspect 10 Posted February 1, 2011 Author Report Share Posted February 1, 2011 hey... also ich habe jetzt die bedingte weiterleitung eingerichtet (natürlich die Sek.Zonen gelöscht). Die DNS auflösung funktioniert weiterhin wie gehabt (erst timeout, dann treffer) Das Problem besteht aber weiterhin. Auch der Test mit der dritten Domäne, resultiert in ähnlichhen Problemen. Der Unterschied ist aber ejtzt, das ich bei der ersten Angabe der "zu Vertrauenden Domäne" zur Auswahl komme ob ich eine Uni oder Bi-direktionale Vertrauensstellungen einrichten möchte. Nachdem ich die Vertrauensstellung von der gegenseite jedoch Bestätigen lassen soll, kommt wieder der Fehler das die Domäne nicht verfügbar ist :( ich dreh noch am rad.... aber erstmal großen Dank für die Hilfe bisher, die bedingte Weiterleitung ist wirklich schöner, als eine Sekundäre Zone! Habt ihr weitere Hilfreiche Tipps für mich? Quote Link to comment
carlito 10 Posted February 1, 2011 Report Share Posted February 1, 2011 Die DNS auflösung funktioniert weiterhin wie gehabt (erst timeout, dann treffer) Wie sind die DNS-Suffixsuchlisten konfiguriert? Quote Link to comment
NilsK 2,946 Posted February 1, 2011 Report Share Posted February 1, 2011 Moin, nslookup das hab ich mir gedacht. Falsche Methode. Mit nslookup prüfst du den Inhalt der DNS-Datenbank, aber du prüfst nicht die Namensauflösung. nslookup geht am normalen Resolver vorbei und spricht den konfigurierten Server direkt an. Was passiert bei ping? Gruß, Nils Quote Link to comment
UsualSuspect 10 Posted February 1, 2011 Author Report Share Posted February 1, 2011 Wie sind die DNS-Suffixsuchlisten konfiguriert? Jetzt steh ich auf dem Schlauch, was meinst du damit? also die Weiterleitung ist jeweils so konfiguiert: Auf beiden DNS-Server dern Domäne A: DNS-Domäne: B.local -> die beiden DC/DNS Server der Domäne B Auf beiden DNS-Server der Domäne B: DNS-Domäne:A.local -< die beiden DC/DNS Server der Domäne A Was passiert bei ping? Ping funktioniert sowohl mit IP, wie auch DNS-Namen (Domänenname, also A.local oder B.local) in beide Richtungen, Aufgelöst wird der Domänenname mit einem der beiden IP-Adressen der beiden DC/DNS Server (Round Robin?) Quote Link to comment
dmetzger 10 Posted February 1, 2011 Report Share Posted February 1, 2011 @UsualSuspect: Cross-Postings solltest Du grundsätzlich vermeiden. Problem mein erstellen einer Vertrauensstellung zwischen zwei Domnen - Druckansicht - administrator.de Quote Link to comment
UsualSuspect 10 Posted February 1, 2011 Author Report Share Posted February 1, 2011 Wie sind die DNS-Suffixsuchlisten konfiguriert? Technet sei dank ;-) unkonfiguriert! ich teste mal hier die beiden Domänen Suffixe einzutregen... ein erster schneller test, ergab das die Auflösung von blanken Rechnernamen einer Anderen Domain funktioniert... ich ergänze dies mal auf den übrigen drei DNS-Servern.... Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.