Problem mit domänenübergreifenden Freigaben...

[webstepper 10]

Hallo Leute,

 

ich habe ein Problem mit 2 Windows 2000 Domänen (jeweils eigener Forest), die über VPN miteinander vernetzt sind.

Das es zwei getrennte Domänen sind, hat historische Gründe.

 

Aufbau:

Domäne 1: xxx.local mit DNS-Server, WinS-Server und lmhosts-Abfrage

Netz 192.168.2.0

 

Domäne 2: yyy.local mit DNS-Server, WinS-Server und lmhosts-Abfrage

Netz 192.168.0.0

 

die DNS-Server haben beide Domänen jeweils als Primäre und Sekundäre Zone eingetragen und bei beiden ist Zonenübertragung aktivert (Zonen sind AD). Die Domänen laufen

im einheitlichen Modus.

 

ping 192.168.2.109 (IP DC Domäne1) funktioniert

ping DCxxx funktioniert

ping DCxxx.xxx.local funktioniert

 

umgekehrt latürlich genauso, nslookup ebenfalls.

Netdiag /v meldet keine Fehler.

 

Die jeweiligen DC´s haben jeweils beide DNS-Server eingetragen

 

Beide Domänen vertrauen sich gegenseitig - die Vertrauensstellung kann auch problemlos überprüft werden.

 

Die beiden Domänen sind jeweils über einen Rechner auf dem der AVM Access-Server als VPN-Router läuft über DSL mit jeweils fester IP verbunden

 

Jetzt mein Problem:

 

Will ich eine Freigabe in Domäne 1 für User der Domäne 2

freigeben, klappt das nur wenn die Berechtigungen der Freigabe auf JEDER steht.

 

Will ich jedoch die Freigabe einem bestimmten User der

Domäne 2 zuordnen, kann ich zwar die Domäne 2 im

Dialog auswählen, das Durchsuchen der Domäne nach Gruppen und Benutzern schlägt jedoch nach einiger Zeit fehl mit der Fehlermeldung:

 

Die Objekte im angegebenen Pfad können aufgrund des folgenden Fehlers

nicht angezeigt werden:

Für die Authentifizierung war keine Authorität erreichbar.

 

Ein direktes Eintragen des Benutzers benutzer@yyy.local schlägt

mit der gleichen Meldung fehl.

 

Was könnte die Ursache dieses Fehlers sein. Für Hilfe wäre ich wrklich

dankbar...

 

Gruss

Wolfgang

[blub 115]

Hi,

bestehen beide domänen aus nur einem Rechner? Solche Trusts laufen immer über die PDC-Emulatoren. Kannst du die einwandfrei auch über Netbios auflösen?

Welche Einträge hast du in den lmhosts? Erinnere mich, dass das 3 pro Trust sein müssen, wenn die Auflösung darüber erfolgt.

 

cu

blub

[-!- Scorp 10]

Original geschrieben von webstepper

Jetzt mein Problem:

 

Will ich eine Freigabe in Domäne 1 für User der Domäne 2

freigeben, klappt das nur wenn die Berechtigungen der Freigabe auf JEDER steht.

 

Will ich jedoch die Freigabe einem bestimmten User der

Domäne 2 zuordnen, kann ich zwar die Domäne 2 im

Dialog auswählen, das Durchsuchen der Domäne nach Gruppen und Benutzern schlägt jedoch nach einiger Zeit fehl mit der Fehlermeldung:

 

Die Objekte im angegebenen Pfad können aufgrund des folgenden Fehlers

nicht angezeigt werden:

Für die Authentifizierung war keine Authorität erreichbar.

 

hallo erstmal,

 

versteh ich das richtig, freigabe von domain1 zu domain2 funktioniert mit dem benutzer "JEDER"

von domain2 zu domain1 geht es nicht mit benutzer "JEDER"? oder das auch?

 

Ein direktes Eintragen des Benutzers benutzer@yyy.local schlägt

mit der gleichen Meldung fehl.

 

das liegt wohl daran das die benutzer der yyy.local nicht vom ad der xxx.local erkannt werden weil kein domainuser.

 

ich meine auch das man user einer anderen domain nicht direkt auf eine freigabe draufknallen kann. versuch mal eine variante die microsoft gerne hört bei mcp prüfungen. erstelle eine universelle gruppe (sollte gehen, da einheitlicher modus) der domain1, dann eine globale (oder auch lokale) gruppe der domain2. freigabe für die universelle gruppe, in der dann die gruppe aus der domain2 aufgenommen wird.

ich weiss es nicht mehr 100%ig, mach mich aber nochmal schlau.

[webstepper 10]

Hallo,

 

mit der Berechtigung JEDER auf der Freigabe geht´s in beide Richtungen.

Das mit der universellen Gruppe habe ich schon versucht...der

gleiche Fehler. Ich kann zwar die Domäne anwählen, aus der ich

die Gruppe zuordnen will, aber das Browsing nach der Gruppe

funktioniert dann nicht mehr....

 

Die Objekte im angegebenen Pfad können aufgrund des folgenden Fehlers

nicht angezeigt werden:

Für die Authentifizierung war keine Authorität erreichbar.

 

PS: Domäne 1 hat 60 PC´s, davon 2 DC. Domäne 2 hat 6 PC´s

davon 1 DC. Lmhosts enthält alle Rechner aus beiden Domänen

und die Kennungen der Domänen.

[-!- Scorp 10]

hat der admin account von domain1 auf der domain2 administrative rechte und umgekehrt?

mir scheint eher das es an sowas liegt wenn es mit den trust funktioniert.

[webstepper 10]

Genau das ist das Problem, ich kann den Admin Domäne 1

keiner Gruppe in Domäne 2 (und umgekehrt) zuordnen, die ihm administrative Rechte ermöglichen würde. Wenn ich das Versuche, kommt genau diese beschriebene Fehlermeldung.:-(

[-!- Scorp 10]

dann versuch mal auf beiden domains einen user zu erstellen mit adminrechten,

beide domains mit gleichem username und password, z.b. "duoadmin" oder so als username.

damit ist gewährleistet das in beiden ad´s ein einheitlicher user mit einheitlichen passwörtern besteht.

hoffe das funzt... ;)

[webstepper 10]

Hab ich schon, der User Administrator ist auf beiden Domänen

vorhanden und hat das gleiche Passwort....:-(((

Unter NT 4.0 war das Möglich, AD ist da zickig....

[-!- Scorp 10]

hmm gut,

 

dann...

 

ein user der domain1 will auf eine freigabe der domain2 zugreifen. erstell ein user in der domain2 und berechtige ihn auf dem share.

 

erstell ein netzlaufwerk auf der maschine des users der domain1 mit dem login und password des berechtigten users der domain2 auf dem freigegebenen share. hoffe zumindest das dies geht...

 

wenn es jetzt so weitergeht installier ich noch zwei domains in unserem schulungsraum und teste das, ist grad interressant :D

[blub 115]

Hallo Webstepper,

Die lmhosts auf allen DCs müssen so aussehen:

 

z.b.

wenn server01 der PDC-Emulator der anderen Domäne Dom2k ist

 

120.120.2.45 server01 #PRE #DOM:DOM2K

120.120.2.45 "DOM2k /1b" #PRE

 

anschliessend auf dem DC nbtstat -RR ausführen und mit nbtstat -c kontrollieren

 

zu beachten ist die Grossschreibung bei #PRE/DOM, und dass beim zweiten Eintrag der "/" an exact 16.-ter Stelle kommen muss (Netbios)

 

Wenn es nicht klappt, bau mal zwischen den beiden PDCs eine gegenseitige Netbios-Verbindung auf:

net use * \\server01\c$

 

entsprechend alles auch auf der Gegenseite.

 

cu

blub

[IvkovicD 10]

Hi webstepper,

 

hast du mal den Trust auf beiden Domänen untersucht, sind die "sauber"? Erkennen beide Seiten den Trust an?

 

Welche Vorarbeiten hast du ausgeführt, damit der Trust aufgebaut werden konnte? (siehe auch Beiträge der anderen User)

 

Schon mal daran gedacht, den Trust zu "erneuern" (also auflösen und wieder zusammenbringen)?

 

Lass mich raten, wenn du JEDER durch "Authentifizierte Benutzer" ersetzt, dann funktioniert es nicht...

 

Gruß

 

Dejan

[blub 115]

und was auch immer wieder weiterhilft, wenn gar nichts mehr hilft:

Ein Netzwerktrace z.B. mittels netmon / ethereal

 

cu

blub

[webstepper 10]

Hab heute ne dringende Reparatur zu erledigen, und werde mich daher erst am Montag dem Domänenproblem widmen können -

melde mich aber wieder, wenn ich Eure Tips ausprobiert habe.

Vorerst herzlichen Dank für die Unterstützung.

Eine Frage noch: Ethereal kenne ich - welches Netmon meinst

Du?

 

Gruss

Wolfgang

[blub 115]

idealerweise den MS-Netzwerkmonitor 2.0 in der Fullversion, wenn du hast.

Ansonsten hilft auch die Light-Version schon weiter, die auf der ServerCD unter "Netzwerk - und MonitoringTools" nachzuinstallieren ist.

 

cu

blub