Jump to content
SergejErfurt

AD Trust Geheimnisse

Recommended Posts

Guten Tag Leute,

 

habe ein kleines Problem und finde keine Lösung. Folgende Situation:

 

Aufbau

2 Domains (DOM-A und DOM-B)

DOM-A hat eine ausgehende Vertrauensstellung zu DOM-B (OneWay Trust)

Functional Level DOM-A ist 2012R2

Functional Level DOM-B ist 2016

 

Ziel

DOM-A und B wollen Doppelte Datenpflege verwalten. Das passiert, indem DOM-B Benutzer erstellt und DOM-A Berechtigt diese auf seine Freigaben und ggf. andere Ressourcen.

Damit das funktioniert muss DOM-A die User aus DOM-B einlesen können

 

Problem

DOM-A sollte die User aus DOM-B, in Active Directory Benutzer und Gruppen auslesen können und auf seine Ressourcen entsprechend berechtigen können (ging auch ganz kurz, dazu später).

Das funktioniert leider nicht. Wenn man den Trust Bidirektional einrichtet, funktioniert alles, wenn man dann eine unidirektionalen Trust daraus macht, so bricht die Funktion ein. Auf der Trust

Seite (DOM-A), wo DOM-B zur Auswahl angeboten wird, um z.B: Benutzer in ActiveDirectory Benutzer und Gruppen MMC einzulesen, taucht kein einziger User auf, auch keine Gruppe und sonst nichts.

 

Voraussetzungen

Geht davon aus, dass Domaincontroller auf beiden Seiten korrekt funktionieren und im Ereignislog gar keine und vor allem keine relevanten Fehler zum im folgenden genannten Problem vorliegen.

Alle möglichen Diagnosen mit CMD erfolgreich.

Debugging Meldungen alle gelesen, es ist nichts was auf das Problem Hindeutet

DNS funktioniert einwandfrei

 

Hinweise

Ich habe festgestellt, dass wenn wir per CIFS von DOM-B, von DOM-A aus begehen daher in Explorer: \\DOM-A eingeben, fragt Windows nach Authentifizierung.

Wenn man an der Stelle auf jedem DC Benutzername Passwort vom Admin aus DOM-B eingibt, sich also authentifiziert, so kann man auch im MMC ActiveDirectory Benutzer und Gruppen alle User und Gruppen schlagartig

wieder einlesen.

 

Umgekehrt, wenn man also von DOM-A aus, \\DOM-B eingibt, bekommt man die SYSVOL und NETLOGON Freigabe ohne Frage nach Authentifizierung.

 

 

Vermutungen

Ich denke es ist nicht im Sinne des Erfinders das ganze so zu verbiegen, dass DOM-A DCs jeweils Zugriff auf DOM-B SYSVOL immer per Admin Account aus DOM-B gemappt werden.

 

Entweder

sind dort, im OneWay Trust Nacharbeiten vorgesehen, dass DOM-A in DOM-B als Authentifizierte Benutzer angesehen wird oder etwas in die Richtung (die ich wohl nicht kenne).

ODER

die Functional Levels sind untereinander nicht kompatibel?

ODER

Gibt es andere Ideen dazu?

 

By the Way, wenn ich meinen Functional Level aus DOM-B (2016) herunterstufe auf 2012R2, bekomme ich Probleme ? Domäne ist relativ neu, besteht aus 2DCs und benutzt keine Features aus 2016 FL, hat erfolgreich funktionierende

andere bidirektionale Trusts zu anderen Domänen.

 

DOM-A ist relativ alt, hat FL 2012R2, kann nicht heraufgestuft werden aus anderen Gründen, besteht aus 3DCs, hat erfolgreich funktionierende andere bidirektionale Trusts zu anderen Domänen

 

ANALYSE UND FEHLER

Alle nachfolgenden Befehle aus DOM-B heraus (DOM-B ist die benachteiligte DOMAIN, hat die eingehende Vertruanesstellung, daher kann keine User / Gruppen... auslesen aus DOM-A)

DOM-A ist in jedem dieser Diagnosebefehle ohne Fehler

 

PS C:\Users\Administrator> netdom trust DOM-B /d:DOM-A /verify
Der Befehl wurde nicht ordnungsgemäß ausgeführt.

________________________________

nltest /domain_trusts /v

--> Alle Domains korrekt aufgeführt

________________________________

PS C:\Users\Administrator> nltest /sc_query:dom-a.local
Fehler bei I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

________________________________

PS C:\Users\Administrator> nltest /dsgetdc:.dom-a.local /FORCE
           Domänencontroller: \\ad3.dom-a.local
      Adresse: \\2*.0.*2.*3
     Domänen-GUID: b*****-*****-*****-****-321**
     Domänenname: dom-a.local
  Gesamtstrukturname: dom-a.local
 DC-Standortname: dom-a-standortname
        Kennzeichen: GC DS LDAP KDC TIMESERV BESCHREIBBAR DNS_DC DNS_DOMAIN DNS_FOREST FULL_SECRET WS DS_8 DS_9 DS_10
Der Befehl wurde ausgeführt.

________________________________

 nslookup -debug -type=srv _ldap._tcp.dc._msdcs.dom-a.local

--> alles gut

 

 

Hat jemand eine Idee?

Danke schonmal vorab

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...