windows 2019 Vertrauensstellung

[msdtp 13]

Hallo,
ich muss, das erste mal seit 25 Jahren mal wieder eine Vertrauensstellung zwischen zwei domains herstellen. 
Der Schock, brauche ich dafür wirklich WINS?
Ich habe es konfiguriert aber es funktioniert nicht. 
Die Ports 137 und 138 habe ich freigegeben.

Doch der WINS behauptet immer noch. das er inaktiv wäre. 

 

[Karl K. 15]

Moin!

 

WINS ist eigentlich nicht nötig, es sei denn du hast URALT NetBIOS abhängige Domaincontroller.. Win 2000/2003 oder nen Forest auf Win2000.

 

 

 

[NorbertFe 2.279]

vor 11 Minuten schrieb msdtp:

Der Schock, brauche ich dafür wirklich WINS?

Nein, braucht man nicht.

 

 

[msdtp 13]

Gerade eben schrieb NorbertFe:

OK, dann ist ja gut. Doch trotzdem geht es nicht.
die Vertrauensstellung ist eingerichtet. Die Gesamtsruktur erscheint auch, z.B. in den Sicherheitseinstellungen für die Freigaben. 
Aber es wird mir dort nichts angezeigt.

 

 

[Karl K. 15]

Was macht denn

 

nslookup -type=SRV _ldap._tcp.dc._msdcs.DOMÄNE.LOCAL

werden dir DCs angezeigt?

 

ping DOMÄNE.LOCAL
ping DC-NAME.DOMÄNE.LOCAL

funktioniert?

 

nltest /dsgetdc:ANDERE.DOMÄNE

Funktioniert das? Ansonsten Zoneneintrag falsch, Weiterleitung..

 

 

Ist der GC der anderen Domain erreichbar? Port 3268, (3269 SSL)

 

 

[msdtp 13]

Ah ok.
 

ping DC-NAME.DOMÄNE.LOCAL geht

ping DOMÄNE.LOCAL, da bin ich fetzt noch nicht drauf gekommen. Zur eigenen Domäne geht. die zweite nicht.

 

nltest /dsgetdc:ANDERE.DOMÄNE, funktioniert anstandslos

[teletubbieland 215]

wie sind denn die Domänen miteinander verbunden?

Router oder Lokal?

NAT überprüft?

 

[NorbertFe 2.279]

vor 11 Minuten schrieb msdtp:

ping DOMÄNE.LOCAL, da bin ich fetzt noch nicht drauf gekommen. Zur eigenen Domäne geht. die zweite nicht.

 

Und wieso nicht? Wie hast du denn das DNS Thema gelöst aktuell? Conditional Forward oder Stubzone oder Zonetransfer? Ist die Firewall entsprechend konfiguriert die Anfragen und Antworten auch in beide Richtungen durchzulassen?

[msdtp 13]

Tatsächlich geht der Ping jetzt. Es gab eine Fehler im DNS. nicht von mir....
Ich habe im DNS je eine bedingte Weiterleitung konfiguriert.
Somit sind alle Tests von oben erfüllt.
 

 

[Karl K. 15]

GC ist erreichbar? Also Ports 3268 3269 frei?

was sagt ein telnet <DC-Name> 3268

 

Hast du evtl. ein Admin Konto welches zwar lokale Berechtigungen hat, aber dem die Benutzer durchsuchen Rechte auf der vertrauenden Domain fehlen?

 

evtl. SID Filtering aktiv?

bearbeitet 22. Mai von Karl K.

[msdtp 13]

vor 5 Minuten schrieb Karl K.:

GC ist erreichbar? Also Ports 3268 3269 frei?

was sagt ein telnet <DC-Name> 3268

Port ist frei.
Nein, ich nutzte, auf beiden Domänen ein Konto mir Domänenadminberechtigung

 

vor 5 Minuten schrieb Karl K.:

 

 

[Karl K. 15]

netdom trust ANDERE.DOMÄNE /domain:DEINE.DOMÄNE /verify

 

was passiert?

[msdtp 13]

command s completed successfully
sonst nichts.

auf beiden DCs

 

[daabm 1.429]

Unfruchtbare Ansätze bisher...

1. DNS - funktioiniert die Namensauflösung? (in beide Richtungen!)

2. AD - können sich die PDC (!) beider Domänen gegenseitig erreichen? Und zwar nicht nur auf LDAP/GC, sondern vor allem auf den RPC Highports...

[msdtp 13]

Hallo,
leider konnte ich mich hierum noch wicht weiter kümmern. anderen Sachen hatten höhere Prio.
Aber es geht immer noch nicht.