CoolAce 17 Geschrieben 11. September 2012 Melden Teilen Geschrieben 11. September 2012 Hallo zusammen, ich habe folgendes Problem und bräuchte bitte einen Ansatz wie ich sowas angehen kann. Ich habe 2 Domänen, Beide W2k8R2 die über einen unidirektionalen Trust miteinander verbunden sind, d.h D DomäneA und DomäneB. Beide haben ein AD mit integriertem DNS, soweit kein Problem. Mein Problem: Die Authentifizierung an dem IIS von der enen Domäne zu der anderen Domäne dauert zu lange, sprich evtl. Authentifizierungsproblem. Eventlogs sind sauber. Meine Frage: Wie kann ich sowas analysieren, mit welchen Tools (am besten Windows Board Tools) und wie würdet ihr rangehen. Danke und Gruß Coolace Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 11. September 2012 Melden Teilen Geschrieben 11. September 2012 WireShark und Netwerk Monitor sind hier gute Freunde. :) http://www.microsoft.com/en-us/download/details.aspx?id=21820 http://blogs.technet.com/b/askds/archive/2008/05/14/troubleshooting-kerberos-authentication-problems-name-resolution-issues.aspx Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 2. Januar 2013 Autor Melden Teilen Geschrieben 2. Januar 2013 Ich habe mich mal mit den Themen Kerberos und AD vertrauter gemacht und bin zu dem folgendem Ergebnis gekommen. Wenn ich 2 unterschiedliche Gesamtstrukturen habe die sich aneinander unidirektional vertrauen bringt es mir wahrscheinlich nicht viel in der anderen Gesamtstruktur einen DC zu installieren von der Domäne A, der sich replikationstechnisch an einem anderen Standort befindet, um die Authentifzierung zu beschleuningen. Begründung: Der fordert beim Ticket Granting Service (TGS) der Domäne A ein Service Ticket für den Zugriff auf eine Ressource an. Der TGS kann zwar kein Service Ticket für diese Ressource erstellen, da sie in einer fremden Domäne ist – er erstellt stattdessen ein Referral Ticket. Mit diesem Referral Ticket greift der Client auf den TGS der Domäne B zu, in der sich die Ressource befindet, und fordert hier ein Service Ticket an. Der TGS der Domäne B erstellt nun für den Zugriff auf die Ressource ein Service Ticket. Der Client der Domäne A kann mittels des Service Tickets auf die Ressource zugreifen – zumindest ist er authentifiziert, ob er für den Zugriff autorisiert wird, entscheidet die Ressource. d.h. sobald er das Ticket hat findet keinerlei Kommunikation auf dieser Ebene zwischen den beiden Gesamtstrukturen statt oder ???? LG Coolace Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.