CoolAce 17 Geschrieben 11. September 2012 Melden Geschrieben 11. September 2012 Hallo zusammen, ich habe folgendes Problem und bräuchte bitte einen Ansatz wie ich sowas angehen kann. Ich habe 2 Domänen, Beide W2k8R2 die über einen unidirektionalen Trust miteinander verbunden sind, d.h D DomäneA und DomäneB. Beide haben ein AD mit integriertem DNS, soweit kein Problem. Mein Problem: Die Authentifizierung an dem IIS von der enen Domäne zu der anderen Domäne dauert zu lange, sprich evtl. Authentifizierungsproblem. Eventlogs sind sauber. Meine Frage: Wie kann ich sowas analysieren, mit welchen Tools (am besten Windows Board Tools) und wie würdet ihr rangehen. Danke und Gruß Coolace
dmetzger 10 Geschrieben 11. September 2012 Melden Geschrieben 11. September 2012 WireShark und Netwerk Monitor sind hier gute Freunde. :) http://www.microsoft.com/en-us/download/details.aspx?id=21820 http://blogs.technet.com/b/askds/archive/2008/05/14/troubleshooting-kerberos-authentication-problems-name-resolution-issues.aspx
CoolAce 17 Geschrieben 2. Januar 2013 Autor Melden Geschrieben 2. Januar 2013 Ich habe mich mal mit den Themen Kerberos und AD vertrauter gemacht und bin zu dem folgendem Ergebnis gekommen. Wenn ich 2 unterschiedliche Gesamtstrukturen habe die sich aneinander unidirektional vertrauen bringt es mir wahrscheinlich nicht viel in der anderen Gesamtstruktur einen DC zu installieren von der Domäne A, der sich replikationstechnisch an einem anderen Standort befindet, um die Authentifzierung zu beschleuningen. Begründung: Der fordert beim Ticket Granting Service (TGS) der Domäne A ein Service Ticket für den Zugriff auf eine Ressource an. Der TGS kann zwar kein Service Ticket für diese Ressource erstellen, da sie in einer fremden Domäne ist – er erstellt stattdessen ein Referral Ticket. Mit diesem Referral Ticket greift der Client auf den TGS der Domäne B zu, in der sich die Ressource befindet, und fordert hier ein Service Ticket an. Der TGS der Domäne B erstellt nun für den Zugriff auf die Ressource ein Service Ticket. Der Client der Domäne A kann mittels des Service Tickets auf die Ressource zugreifen – zumindest ist er authentifiziert, ob er für den Zugriff autorisiert wird, entscheidet die Ressource. d.h. sobald er das Ticket hat findet keinerlei Kommunikation auf dieser Ebene zwischen den beiden Gesamtstrukturen statt oder ???? LG Coolace
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden