tschwaerzer 10 Posted February 7, 2011 Report Share Posted February 7, 2011 Hallo Newsgroup, habe ein kleines Verständnisproblem bei einer externen Vertrauensstellung. Hier eine kurze Beschreibung der Umgebung: - Interne Domäne mit Windows Server 2003 und Windows Server 2008 Domänencontrollern. Domain-, und Forestlevel sind 2003 Nativ. - Externe Domain mit Windows Server 2008 Domaincontrollern, Domain-, und Forestlevel sind mir nicht bekannt. Die beiden Domains sind über eine WAN-Verbindung miteinander verbunden. Auf beiden Seiten sind bedingte Weiterleitungen für die jeweils andere Domain eingerichtet. Die interne Domain ist in mehrere Subnetze (und Sites) unterteilt. Die externe Domain darf aufgrund der internen Sicherheitsrichtlinie nur auf eines dieser internen Subnetze zugreifen. Wenn ich jedoch die interne Domain von der externen Domain auflöse (z.B. per nslookup oder ping), bekomme ich den Domainnamen immer wieder mit einer IP eines Domänencontrollers eines Subnetztes aufgelöst, auf das die externe Domain keinen Zugriff hat. Da hier der Zugriff durch eine Firewall geblockt ist, ist die interne Domain von der externen Domain dann nicht erreichbar. Somit kann ein Tust nicht erstellt werden, oder ein bereits erstellter Trust funktioniert nach einiger Zeit nicht mehr. Hat mir hier jemand einen Tipp, wie ich dieses Problem lösen kann? Ich hoffe die Beschreibung ist nicht zu kompliziert geschrieben... aber ich weiß wirklich nicht, wie ich das ganze einfacher oder plastischer beschreiben kann. Gruß Thomas Quote Link to comment
Daim 12 Posted February 7, 2011 Report Share Posted February 7, 2011 Servus, Wenn ich jedoch die interne Domain von der externen Domain auflöse (z.B. per nslookup oder ping), bekomme ich den Domainnamen immer wieder mit einer IP eines Domänencontrollers eines Subnetztes aufgelöst, auf das die externe Domain keinen Zugriff hat. hmm... anhand deiner Signatur, müsstest du dir das Verhalten selber erklären können! Hast du schon einmal etwas von "Round Robin" gehört (was ich hoffe)? Da hier der Zugriff durch eine Firewall geblockt ist, ist die interne Domain von der externen Domain dann nicht erreichbar. Somit kann ein Tust nicht erstellt werden, oder ein bereits erstellter Trust funktioniert nach einiger Zeit nicht mehr. Bevor eine Vertrauensstellung vom Local Security Authority (LSA) Prozess erstellt wird, prüft dieser die Eindeutigkeit folgender Auflistung: - Den NetBIOS Namen der Domäne - Den Fully Qualified Domain Name (FQDN) der Domäne - Die Security Identifier (SID) der Domäne Diese drei Punkte müssen eindeutig sein, da ansonsten keine Vertrauensstellung zu Stande kommt. Wobei bei der Einrichtung der Vertrauensstellung primär der NetBIOS-Name der Domänen verwendet wird. Die PDC-Emulatoren der Domänen richten die Vertrauensstellung ein und handeln das Kennwort für den Trust eigenständig untereinander aus. Das Kennwort für die Vertrauensstellung wird dann alle 30 Tage von den PDC-Emulatoren geändert. Die entscheidende Frage in deinem Szenario ist also, haben beide PDC-Emulatoren Verbindung zueinander (was zwingend notwendig ist)? Und abgesehen davon, dein Vorhaben lässt sich mit der "selektiven Authentifizierung" lösen. Wenn beide Domänen sich mindestens im Windows Server 2003 Domänenfunktionsmodus befinden, kann man beim Erstellen der Vertrauensstellung die Option "Selektive Authentifizierung" aktivieren. Danach ruft man im AD auf dem Computerobjekt z.B. Printserver, Fileserver etc. in den Eigenschaften die Registerkarte "Sicherheit" auf und fügt idealerweise eine Gruppe, die Zugriff nur auf den entsprechenden Server erhalten soll, aus der vertrauten Domäne hinzu. Als nächstes vergibt man im Reiter "Sicherheit" das Recht "Allow to Authenticate / Darf authentifizieren". Dadurch können sich die Gruppenmitglieder aus der vertrauten Domäne nur an diesem einen Server anmelden und keine anderen Ressourcen der Domäne nutzen. Quote Link to comment
tschwaerzer 10 Posted February 8, 2011 Author Report Share Posted February 8, 2011 Hallo Yusuf, vielen Dank für Deine schnelle Antwort. Round Robin sagt mir natürlich was... :-) Was ich aber natürlich nicht bedacht habe, sind die PDC-Emulatoren! Mein PDC-Emulator ist für die externe Domain tatsächlich nicht erreichbar. Dann werde ich mich also darum kümmern müssen, dass sich die beiden PDC-Emulatoren miteinander "unterhalten" dürfen. Danke für den Tipp! Denn genau hier lag mein Denkfehler. Die selektiven Authentifizierung wollte ich sowieso einsetzen, da die Zugriffe zwischen den beiden Domänen sehr eingeschränkt vergeben werden sollen. Gruß Thomas Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.