DeathAndPain 10 Geschrieben 2. August 2004 Melden Teilen Geschrieben 2. August 2004 Hallo, ich habe ein Problem beim Einrichten einer Vertrauensstellung zwischen zwei Windows NT-Domänen. Unsere Netzwerktopologie sieht wie folgt aus: Alle abgebildeten Domänen haben miteinander eine wechselseitige Vertrauensstellung. Nur die LUK-Domäne hat noch keine Vertrauensstellung mit der SERV-DOMÄNE. Der abgebildete WINS-Server ist der Domänencontroller der FIBU-DOMÄNE. Alle PCs in allen Domänen (einschließlich der jeweiligen Domänencontroller) haben ihn als WINS-Server eingetragen. Dadurch sind alle PC-Namen in allen Domänen auflösbar. Das funktioniert auch einwandfrei. Alle Domänencontroller arbeiten mit Windows NT 4.0 Server SP6. Jede Domäne ist IP-seitig ein eigenes Subnetz. Es sind jedoch in allen Computern vollständige statische Routen gepflegt, d.h. jeder ping in ein beliebiges anderes Subnetz kommt erfolgreich an. Eine Firewall ist nicht zwischengeschaltet, da alle Domänen das Sicherheitsniveau "internes Netz" genießen. Nun will ich die LUK-DOMÄNE auch in wechselseitige Vertrauensstellung mit der SERV-DOMÄNE bringen. Beide beteiligten Domänencontroller haben eine funktionierende Vertrauensstellung mit der FIBU-DOMÄNE und können wechselseitig ihre Namen auflösen und anpingen. Lehrbuchmäßig habe ich zuerst die LUK-DOMÄNE beim Domänencontroller der SERV-DOMÄNE in die Liste "Berechtigt, dieser Domäne zu vertrauen" eingetragen. Danach habe ich versucht, beim Domänencontroller der LUK-DOMÄNE die SERV-DOMÄNE in die Liste "Vertraute Domänen" aufzunehmen. Dabei bekomme ich jedoch die Fehlermeldung: Domänen-Controller für diese Domäne konnte nicht gefunden werden. Woran kann das liegen? Nach meinem Verständnis dürfte es zu dieser Fehlermeldung nur kommen, wenn das Routing nicht funktionieren würde oder der Domänencontroller der LUK-Domäne den Namen des Domänencontrollers der SERV-DOMÄNE nicht auflösen könnte. Das ist aber dank des zentralen WINS-Servers alles kein Problem. Wie findet eigentlich ein Domänencontroller den zuständigen Domänencontroller einer anderen Domäne, wenn die in einem anderen Subnetz liegt? Broadcasts werden doch nach meinen Kenntnisstand nicht über Subnetze hinweg weitergeroutet. Ein konzeptionelles Problem kann hier aber nicht vorliegen, weil ja die anderen Domänen (rechts im Bild durch die Striche angedeutet) auch auf die gleiche Weise Vertrauensstellungen mit der SERV-DOMÄNE erhalten haben. Und das funktioniert auch. Der Witz an der Sache: Andersrum funktioniert es. Es ließ sich problemlos eintragen, daß der Domänencontroller der SERV-DOMÄNE der LUK-DOMÄNE vertrauen soll. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 2. August 2004 Melden Teilen Geschrieben 2. August 2004 Die PDCs finden sich über den WINS. Wie du gesagt hast, haben den ja ALLE Rechner drin. Ist der verfügbar? Ist dort ein Eintrag für die Server Domäne (als Gruppenname!!) 1Bh drin? grizzly999 Zitieren Link zu diesem Kommentar
Runnel 10 Geschrieben 2. August 2004 Melden Teilen Geschrieben 2. August 2004 Hallo Diese Problematik hatte ich auch mal . Ich habe den Fehler behoben, indem ich einen statischen Eintrag der Domäne im WINS eingetragen habe. Ich hatte aber auch 2 WINS Server pro Domäne einen. Gruß Runnel Zitieren Link zu diesem Kommentar
DeathAndPain 10 Geschrieben 4. August 2004 Autor Melden Teilen Geschrieben 4. August 2004 Ich habe mal einen Blick in die WINS-Datenbank geworfen: Es fällt das abweichende Symbol vor der SERV-DOMÄNE auf. Bei näherem Nachsehen erkennt man, daß es sich bei dem Unterschied um den Zuordnungstyp handelt: Die SERV-DOMÄNE ist als "multihomed" (Gruppe) geführt, die anderen Domänen dagegen als "einzeln". grizzly999s Antwort läßt den Schluß zu, daß alle Domänen auf "Gruppe" stehen müßten. Dagegen spricht jedoch, daß die Vertrauensstellung bei allen anderen Domänen funktioniert - nur nicht bei der SERV-DOMÄNE. Natürlich kann ich versuchen, da jetzt statisch was anderes reinzuhacken. Aber das würde mir wie ein Workaround vorkommen, für einen Fehler, dessen Ursache ich noch nicht wirklich kenne. Die oben dargestellten Zuordnungen sind nicht statisch, also automatisch generiert. Weshalb wurde für die SERV-DOMÄNE ein anderer Zuordnungstyp erzeugt? Zur ergänzenden Info: 129.122.215.4 und 129.122.215.6 sind der primäre und sekundäre Domänencontroller der FIBU-DÖMÄNE und zugleich die WINS-Server für das gesamte Netz (wobei zwischen den beiden natürlich regelmäßiger Abgleich stattfindet). Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 4. August 2004 Melden Teilen Geschrieben 4. August 2004 Symbolmäßig ist das mit dem einen Computer das richtige, was ich meinte mit "Gruppe", der 1Bh-Eintrag lautet auf den Namen der Domäne, nicht auf den des Rechners. grizzly999 Zitieren Link zu diesem Kommentar
DeathAndPain 10 Geschrieben 4. August 2004 Autor Melden Teilen Geschrieben 4. August 2004 Danke für den Hinweis. Wie kann es dazu kommen, daß der (anscheinend fehlerhafte) Eintrag mit dem Mehrcomputersymbol entsteht? Wenn ich diesen Eintrag händisch lösche, wird dann die Domäne neu erkannt (hoffentlich mit dem richtigen Zuordnungstyp)? Müßte ja eigentlich so sein. Wie lange dauert das ungefähr? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.