Jump to content

Einrichtung bidirektionale Vertrauensstellung zwischen zwei Domänen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ein Kunde von uns möchte zu eine Vertrauensstellung zwischen seiner Domäne und der Domäne eines Partnerunternehmens herstellen.

Ziel soll sein, dass wechselseitig auf bestimmte Ressourcen (hauptsächlich Fileserver) zugegriffen werden kann.

 

Domäne A (Kunde) -> Gesamtstrukturfunktionsebene & Domänenfunktionsebene Server 2012R2

Domäne B (Partner) -> Gesamtstrukturfunktionsebene & Domänenfunktionsebene Server 2016

 

Kurzfristig ist es nicht möglich, die Funktionsebene Domäne A hochzustufen.

 

Ich habe mich ein bisschen eingelesen, und würde wie folgt vorgehen:

 

- Einrichtung eines Site2Site VPN

- Domäne A Einrichten einer bedingten Weiterleitung für Domäne B

- Domäne B Einrichten einer bedingten Weiterleitung für Domäne A

- Domäne A Ausführen des Assistenten für neue Vertrauensstellung

- Domäne B Ausführen des Assistenten für neue Vertrauensstellung

- Domäne A Einrichten der Benutzergruppen von Domäne B

- Domäne B Einrichten der Benutzergruppen von Domäne A

- Setzen der NTFS Berechtigungen

 

Passt das so im Groben?

Habe ich etwas Wichtiges vergessen?

Gibt es irgendwelche bekannten Fallstricke?

 

Danke für euren Input

 

chrismue

Link zu diesem Kommentar

Wäre mir neu, daß Trusts Schwierigkeiten mit unterschliedlichen DFL/FFL hätten :-)

Statt der Conditional Forwarder könntest Du auch Secondar DNS verwenden - aber das hängt vom Gesamtdesign ab (DHCP/DNS).

Und wenn da "nur auf bestimmte Ressourcen" zugegriffen werden soll, dann sollte selektive Authentifizierung auf dem Trust aktiviert werden. Sonst sind alle überall "Authentifizierter Benutzer".

 

Link zu diesem Kommentar
  • 4 Wochen später...
vor 10 Minuten schrieb chrismue:

Ich habe heute schmerzvoll festgestellt, dass beide Domains den gleichen NETBios-Namen haben und somit die Einrichtung der Vertrauensstellung momentan nicht möglich ist.

 

:lol3: Dass man über sowas noch stolpert.

vor 17 Minuten schrieb chrismue:

Wir erörtern grade die Möglichkeiten, den NETBios Namen der kleineren Domäne B zu ändern.

 

Solange kein Exchange im AD war/ist, geht das schon, im Allgemeinen. Ist halt die Frage, wie klein "kleiner" ist und was alles drin hängt. Evtl. ist dann die Migration in eine neue oder in die größere Domain dann doch die "einfachere" Variante.

Link zu diesem Kommentar

Hallo Norbert,

 

in der Domäne A gab es mal Exchange, die sind aber jetzt auf Exchange Online migriert.

Hier gibt es nur noch den AD Sync, keinen lokalen Exchange mehr.

 

In Domäne B, die grade mal ein  Jahr alt ist, gab es keinen lokalen Exchange.

Die sind direkt mit Exchange Online gestartet.

 

Domäne A hat 3 DCs, 12 Memberserver und ca 150 Clients.

Domäne B hat 2 DCs 1 Memberserver und 10 Clients.

 

Von daher ist die Umbenennung von Domäne B im Moment bevorzugt.

 

Gruß

chrismue

 

 

bearbeitet von chrismue
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...