Jump to content
PadawanDeluXe

Trust zwischen zwei AD Forests

Recommended Posts

Hallo zusammen,

ich habe ein Problem beim Einrichten einer AD Vertrauensstellung zweier eigenständiger Forests. Das Szenario sieht wie folgt aus:

 

Domäne1:

FQDN: dc01.demo.lab

NetBIOS Name: demo

 

Domänenfunktionsebene: Win 2012 R2

Gesamtstrukturfunktionsebene: Win 2012 R2 

 

Domänencontroller Windows 2012 R2 Server

===

Domäne2:

FQDN: dc01-16.demo2.lab

Netbios Name: demo2

 

Domänenfunktionsebene: Win 2012 R2

Gesamtstrukturfunktionsebene win 2012 R2

 

Domänencontroller Windows Server 2016

 

Der Trust soll aus demo2.lab zu demo.lab gelten. Das bedeutet ich kann aus demo2.lab mich gegen demo.lab authentifizieren aber _nicht_ anders herum. Die Einrichtung dieses unidirektionalen Trusts hat soweit funktioniert und ich kann auch auf beiden Domaincontrollern den Trust mit der jeweils anderen Domain validieren. Im nächsten Schritt habe ich eine Gruppe in demo2.lab erstellt (Name=Demo-Administratoren, Typ=Sicherheitsgruppe - Universal). Diese habe ich auf meinem AD-Objekt des Domänencontrollers in der Domain demo.lab als "Darf authentifizieren" konfiguriert.

 

Gehe ich jetzt her und versuche mit einem User der in dieser Gruppe ist eine Anmeldung auf dem Domaincontroller der demo.lab erhalte ich die Fehlermeldung: "Die verwendete Anmeldemethode ist auf diesem PC nicht zulässig. Weitere Informationen erhalten Sie vom Netzwerkadministrator" Hier stehe ich allerdings ein wenig auf dem Schlauch was ich denn nun falsch gemacht habe. In beiden Eventlogs wird keine Fehlermeldung protokolliert. 

 

Kann mir bitte jemand einen Schubs geben woran es liegt?

 

 

Vielen Dank!

Share this post


Link to post
Share on other sites

Moin,

 

Auf einem DC dürfen sich nur Administratoren anmelden. Du musst der Gruppe also noch die interaktive Anmerkung auf den DCs gestatten.

 

Gruß, Nils

 

  • Thanks 2

Share this post


Link to post
Share on other sites

Argh! Ärgerlich, aber extrem logisch, denn: wenn der DC die Authentifizierung durchführen darf gilt das generell aber er weiß ja nicht Welche Berechtigungen die Gruppe tatsächlich auf dem Gerät hat. 

 

ok. Ich hätte meiner alten Anleitung vertrauen sollen. 

 

Danke dir.

 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

Werbepartner:



×
×
  • Create New...