PadawanDeluXe 79 Geschrieben 8. April 2019 Melden Geschrieben 8. April 2019 Hallo zusammen, ich habe ein Problem beim Einrichten einer AD Vertrauensstellung zweier eigenständiger Forests. Das Szenario sieht wie folgt aus: Domäne1: FQDN: dc01.demo.lab NetBIOS Name: demo Domänenfunktionsebene: Win 2012 R2 Gesamtstrukturfunktionsebene: Win 2012 R2 Domänencontroller Windows 2012 R2 Server === Domäne2: FQDN: dc01-16.demo2.lab Netbios Name: demo2 Domänenfunktionsebene: Win 2012 R2 Gesamtstrukturfunktionsebene win 2012 R2 Domänencontroller Windows Server 2016 Der Trust soll aus demo2.lab zu demo.lab gelten. Das bedeutet ich kann aus demo2.lab mich gegen demo.lab authentifizieren aber _nicht_ anders herum. Die Einrichtung dieses unidirektionalen Trusts hat soweit funktioniert und ich kann auch auf beiden Domaincontrollern den Trust mit der jeweils anderen Domain validieren. Im nächsten Schritt habe ich eine Gruppe in demo2.lab erstellt (Name=Demo-Administratoren, Typ=Sicherheitsgruppe - Universal). Diese habe ich auf meinem AD-Objekt des Domänencontrollers in der Domain demo.lab als "Darf authentifizieren" konfiguriert. Gehe ich jetzt her und versuche mit einem User der in dieser Gruppe ist eine Anmeldung auf dem Domaincontroller der demo.lab erhalte ich die Fehlermeldung: "Die verwendete Anmeldemethode ist auf diesem PC nicht zulässig. Weitere Informationen erhalten Sie vom Netzwerkadministrator" Hier stehe ich allerdings ein wenig auf dem Schlauch was ich denn nun falsch gemacht habe. In beiden Eventlogs wird keine Fehlermeldung protokolliert. Kann mir bitte jemand einen Schubs geben woran es liegt? Vielen Dank!
Beste Lösung NilsK 3.050 Geschrieben 8. April 2019 Beste Lösung Melden Geschrieben 8. April 2019 Moin, Auf einem DC dürfen sich nur Administratoren anmelden. Du musst der Gruppe also noch die interaktive Anmerkung auf den DCs gestatten. Gruß, Nils 2
PadawanDeluXe 79 Geschrieben 9. April 2019 Autor Melden Geschrieben 9. April 2019 Argh! Ärgerlich, aber extrem logisch, denn: wenn der DC die Authentifizierung durchführen darf gilt das generell aber er weiß ja nicht Welche Berechtigungen die Gruppe tatsächlich auf dem Gerät hat. ok. Ich hätte meiner alten Anleitung vertrauen sollen. Danke dir.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden