Jump to content

Externe Vertrauenstellung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo Newsgroup,

 

habe ein kleines Verständnisproblem bei einer externen Vertrauensstellung.

 

Hier eine kurze Beschreibung der Umgebung:

- Interne Domäne mit Windows Server 2003 und Windows Server 2008 Domänencontrollern. Domain-, und Forestlevel sind 2003 Nativ.

 

- Externe Domain mit Windows Server 2008 Domaincontrollern, Domain-, und Forestlevel sind mir nicht bekannt.

 

Die beiden Domains sind über eine WAN-Verbindung miteinander verbunden.

Auf beiden Seiten sind bedingte Weiterleitungen für die jeweils andere Domain eingerichtet.

 

Die interne Domain ist in mehrere Subnetze (und Sites) unterteilt. Die externe Domain darf aufgrund der internen Sicherheitsrichtlinie nur auf eines dieser internen Subnetze zugreifen. Wenn ich jedoch die interne Domain von der externen Domain auflöse (z.B. per nslookup oder ping), bekomme ich den Domainnamen immer wieder mit einer IP eines Domänencontrollers eines Subnetztes aufgelöst, auf das die externe Domain keinen Zugriff hat. Da hier der Zugriff durch eine Firewall geblockt ist, ist die interne Domain von der externen Domain dann nicht erreichbar. Somit kann ein Tust nicht erstellt werden, oder ein bereits erstellter Trust funktioniert nach einiger Zeit nicht mehr.

 

Hat mir hier jemand einen Tipp, wie ich dieses Problem lösen kann?

 

Ich hoffe die Beschreibung ist nicht zu kompliziert geschrieben... aber ich weiß wirklich nicht, wie ich das ganze einfacher oder plastischer beschreiben kann.

 

Gruß

Thomas

Link to post

Servus,

 

Wenn ich jedoch die interne Domain von der externen Domain auflöse (z.B. per nslookup oder ping), bekomme ich den Domainnamen immer wieder mit einer IP eines Domänencontrollers eines Subnetztes aufgelöst, auf das die externe Domain keinen Zugriff hat.

 

hmm... anhand deiner Signatur, müsstest du dir das Verhalten selber erklären können!

Hast du schon einmal etwas von "Round Robin" gehört (was ich hoffe)?

 

Da hier der Zugriff durch eine Firewall geblockt ist, ist die interne Domain von der externen Domain dann nicht erreichbar. Somit kann ein Tust nicht erstellt werden, oder ein bereits erstellter Trust funktioniert nach einiger Zeit nicht mehr.

 

Bevor eine Vertrauensstellung vom Local Security Authority (LSA) Prozess erstellt wird, prüft dieser die Eindeutigkeit folgender Auflistung:

 

- Den NetBIOS Namen der Domäne

- Den Fully Qualified Domain Name (FQDN) der Domäne

- Die Security Identifier (SID) der Domäne

 

Diese drei Punkte müssen eindeutig sein, da ansonsten keine Vertrauensstellung zu Stande kommt. Wobei bei der Einrichtung der Vertrauensstellung primär der NetBIOS-Name der Domänen verwendet wird. Die PDC-Emulatoren der Domänen richten die Vertrauensstellung ein und handeln das Kennwort für den Trust eigenständig untereinander aus. Das Kennwort für die Vertrauensstellung wird dann alle 30 Tage von den PDC-Emulatoren geändert.

 

Die entscheidende Frage in deinem Szenario ist also, haben beide PDC-Emulatoren Verbindung zueinander (was zwingend notwendig ist)?

 

 

Und abgesehen davon, dein Vorhaben lässt sich mit der "selektiven Authentifizierung" lösen. Wenn beide Domänen sich mindestens im Windows Server 2003 Domänenfunktionsmodus befinden, kann man beim Erstellen der Vertrauensstellung die Option "Selektive Authentifizierung" aktivieren. Danach ruft man im AD auf dem Computerobjekt z.B. Printserver, Fileserver etc. in den Eigenschaften die Registerkarte "Sicherheit" auf und fügt idealerweise eine Gruppe, die Zugriff nur auf den entsprechenden Server erhalten soll, aus der vertrauten Domäne hinzu. Als nächstes vergibt man im Reiter "Sicherheit" das Recht "Allow to Authenticate / Darf authentifizieren". Dadurch können sich die Gruppenmitglieder aus der vertrauten Domäne nur an diesem einen Server anmelden und keine anderen Ressourcen der Domäne nutzen.

Link to post

Hallo Yusuf,

 

vielen Dank für Deine schnelle Antwort.

 

Round Robin sagt mir natürlich was... :-)

 

Was ich aber natürlich nicht bedacht habe, sind die PDC-Emulatoren! Mein PDC-Emulator ist für die externe Domain tatsächlich nicht erreichbar. Dann werde ich mich also darum kümmern müssen, dass sich die beiden PDC-Emulatoren miteinander "unterhalten" dürfen. Danke für den Tipp! Denn genau hier lag mein Denkfehler.

 

Die selektiven Authentifizierung wollte ich sowieso einsetzen, da die Zugriffe zwischen den beiden Domänen sehr eingeschränkt vergeben werden sollen.

 

Gruß

Thomas

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...