Jump to content
Sign in to follow this  
vevie

Vetrauensstellung zwischen zwei Domänen

Recommended Posts

Hallo zusammen,

 

ich habe ein Problem mit meiner Vertrauenstellung und tippe, nachdem ich nun das Forum durchforstet habe, auf ein DNS-Problem, das ich aber leider nicht lösen kann.

 

Habe zwei Standorte mit eigenständiger W2k3-Domäne (DC mit AD, DNS) im "Windows 2000 pur-Modus" über ein VPN verbunden. Die beiden DCs kann man pingen und erhält eine Antwort. In Domäne B konnte ich eine Vertrauensstellung zu Domäne A einrichten, leider aber nur eine externe, nicht transitive Vertrauensstellung. Anschliessend konnte ich in Domäne A Netzlaufwerke des DCs in Domäne B mappen. Leider aber nicht umgekehrt: ich kann nicht in Domäne B Netzlaufwerke des DCs der Domäne A mappen. Erhalte dann immer die Fehlermeldung "Anmeldeserver nicht vorhanden".

 

Daher habe ich versucht eine Vertrauensstellung in Domäne A einzurichten und erhalte die Fehlermeldung "Domäne nicht gefunden", auch wenn ich eine sekundäre Zone oder eine Weiterleitung einrichte. Liegt das an der Namensauflösung und was kann ich tun?

 

Danke für's Feedback!

Share this post


Link to post
Share on other sites

als allererstes kannst du soweit ich weis zwischen zwei domänen in W2K modus im nachhinein keine transitive vertrauenstellung bauen. das geht erst ab W2K3. in W2K geht das nur zwischen subdomänen einer gesamtstruktur.

 

ich gehe davon aus das du in der tat ein dns problem hast. du brauchst auf beiden domänen eine zone für die jeweils andere zone und musst in der lage sein das du die server gegenseitig FQ anzupingen.

Share this post


Link to post
Share on other sites

Da hat Hirgelzwift recht, einen Foresttrust (der dann transitiv ist) kannst Du nur erzeugen, wenn Deine Forests den Betriebsmodus Windows Server 2003 haben. Wie hast Du denn Deine Weiterleitungen konfiguriert, hast Du auf beiden DCs eine bedingte Weiterleitung mit dem Ziel des jeweils anderen Domänennamens (unter "DNS-Domäne") und den dazugehörigen IP-Adressen der dortigen DNS-Server eingetragen ?

Share this post


Link to post
Share on other sites

Hi

 

in Domäne B habe ich nun eine sekundäre Zone mit Domäne A. Hatte vorher nur eine Weiterleitung, die musste ich rausschmeissen um eine sekundäre Zone zu erstellen. In Domäne A habe ich komischerweise eine sekundäre Zone mit Domäne B und eine Weiterleitung einrichten können.

 

Pingen kann ich beide Server und erhalte Antwort. Was heisst FQ?

 

Ok, ich habe nur den Betriebsmodus "Windows 2000 pur" auf beiden Servern, aber das transitive ist ja auch nicht so wichtig, wenn ich nur einen DC pro Domäne habe, oder?

 

In Domäne A habe ich folgendermassen eine Weiterleitung eingerichtet: Verwaltung -> DNS -> Servername mit rechter Maustaste -> Eigenschaften -> Registerkarte Weiterleitungen -> Neu arnika.local (Domäne B), IP 192.168.1.1 (DC Domäne B).

In Domäne B musste ich wie gesagt die Weiterleitung rausschmeissen um die sekundäre Zone einzurichten.

 

Ich habe aber nun in beiden eine sekundäre Zone der anderen Domäne. In Domäne A habe ich einen Zonennamen arnika.local eingegeben mit IP 192.168.1.1 und in Domäne B den Zonennamen vermag.local mit IP 192.168.0.1. In der Forward-lookup-zone erscheinen die jeweiligen sekundären Zonen mit allen Workstations und IPs der anderen Domäne.

 

Aber die Vertrauensstellung funktioniert nicht. In Domäne B haben ich die existierende gelöscht und nochmal neu eingerichtet. Dort werde ich nach Eingabe des dns-Namens vermag.local schon nach der Richtung (bidirektional...) gefragt und kann die Vertrauensstellung einrichten. In Domäne A hingegen erscheint nach Eingabe des dns Namens arnika.local nur die Auswahl zwischen Bereichsvertrauensstellung und Vertrauensstellung mit einer Windows-Domäne, was ich dann auch ausgewählt und den vorgeschlagenen Domänennamen arnika.local so beibelassen habe. danach ist Schluss und es heisst Domäne nicht gefunden.

 

In der Ereignisanzeige der Domäne A habe ich unter System den Fehler 5781, jedoch nur einmal am Tag und nicht alle zwei Stunden. Unter DNS-Server erhalte ich das Ereignis 6702, jedoch nur nach einem Neustart. Kann es daran liegen oder daran, dass ich in den Bereichsoptionen (DHCP) als DNS an zweiter Stelle den DNS-Server des ISP eingetragen habe. An erster Stelle ist unser DC eingetragen?

 

Oder liegt es eher an Berechtigungen? Ich kann in Domäne B keine Netzlaufwerke von DC A mappen unter den Benutzern der Domäne B. Wähle ich jedoch "unter anderem Benutzernamen verbinden" und trage einen Benutzer der Domäne A ein, kann ich das Netzlaufwerk mappen.

Share this post


Link to post
Share on other sites

1. transistive vertrauensstellungen sind eigentlich nur wichtig wenn du ein multi domänen kozept hast. will sagen transistiv bedeutet das wenn domäne A domäne B traut und domäne C ist eine subdomäne von domäne A dann vertraut C automatisch B und umgekehrt. transistiv ist auch immer two way.

 

2. berechtigungen kannst du erreichen das du die domänen admins der domäne A in die gruppen der domänen admins der domäne B einträgst und umgekeht. das selbe gilt sinngemäß für die benutzer. ausserdem gibt es dann universelle gruppen und du kannst die universellen gruppen in lokale gruppen aufnehmen die dann die berechtigungen steuern.

 

warum du probleme mit der vertrauenstellung als solches ist ist mir ein rätsel. ich habe das zugeben nicht oft gemacht aber ich konnte immer direkt eine zweiseitige vertrauenstellung von einem DC aus einer domäne einrichten sofern die DNS auflösung funzte und ich die PW und Admindaten im format domäne\administrator richtig gesetzt hatte.

Share this post


Link to post
Share on other sites

1. ok, können wir vergessen.

 

2. Bedeutet das, ich muss alle Benutzer der Domäne B in der Domäne A erst eintragen??? Ich habe auch keine Benutzer der Domäne A in der Domäne B eingetragen und kann Laufwerke des DCs der Domäne B in der Domäne A mappen.

 

3. Wenn ich in Domäne B eine zweiseitige Vertrauensstellung einrichten kann, müsste ich doch eigentlich in Domäne A keine Vertrauensstellung mehr einrichten, oder? Sonst wäre sie ja nicht zweiseitig. Waran erkenne ich, dass die dns auflösung korrekt läuft? Mit nslookup? Was muss da genau stehen?

 

PW und Admindaten im Format domäne\administrator meinst Du für die Erstellung der Vertrauensstellung?

Share this post


Link to post
Share on other sites
2. Bedeutet das, ich muss alle Benutzer der Domäne B in der Domäne A erst eintragen??? Ich habe auch keine Benutzer der Domäne A in der Domäne B eingetragen und kann Laufwerke des DCs der Domäne B in der Domäne A mappen.

 

Nein, der Trust bedeutet, dass ein User von Domain A sich an einem Rechner der Domain B aus an Domain A anmelden kann.

 

und zu 3:

 

Ja, zweiseitig heisst nur, dass dann auch in Gegenrichtung ein Trust eingerichtet wird.

 

Ob DNS Auflösung funktioniert, kannst Du in der Tat mit "nslookup" testen.

nslookup domain.name und nslookup dc.domain.name.

 

Christoph

Share this post


Link to post
Share on other sites

ich habe versucht die eingerichtete Vertrauensstellung in Domäne B zu bestätigen und bekomme folgenden Fehler:

Die Überprüfung der eingehenden Vertrauensstellung ist mit folgendem Fehler bzw. folgenden Fehlern fehlgeschlagen: Die Überprüfung des Vertrauensstellungskennwortes war nicht eindeutig. Es wird versucht, den sicheren Kanal zurückzusetzen. Das Zurücksetzten des sicheren Kanals ist mit folgendem Fehler fehlgeschlagen: 1311 Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar.

Die ausgehende Vertrauensstellung wurde verifiziert. Sie befindet sich am richtigen Ort und ist aktiv.

 

Bei der Einrichtung der Bidirektionalen Vertrauensstellung wurde ich nach einem berechtigten Benutzer gefragt und habe dort das Administratoren-Login der Domäne A im Format domäne\administrator eingegeben. Das war anscheinend falsch?

 

bei nslookup vermag.local erhalte ich:

H:\>nslookup vermag.local

*** Der Servername für die Adresse 192.168.1.1 konnte nicht gefunden werden:

Non-existent domain

Server: ns0.ch.easynet.net

Address: 217.8.192.51

*** vermag.local wurde von ns0.ch.easynet.net nicht gefunden: Server failed

 

217.8.192.51. ist der DNS-Server unseres ISP. Sollte das so sein?

Share this post


Link to post
Share on other sites

Wenn ich das jetzt richtig in Erinnerung habe, wird bei der Einrichtung eines Trusts ein Kennwort erfragt. Das ist das Kennwort, was du eingeben musst. Das kann gleich sein, wie das Kennwort des Admins., muss aber nicht.

 

Christoph

Share this post


Link to post
Share on other sites

Du musst einen DNS server erreichen können, der dir die andere Domain auflösen kann, das wird in vielen Fällen der DC dieser Domain sein. Der DNS Server des ISPs kennt diese normalerweise nicht. Ist auch gut so :)

 

Christoph

Share this post


Link to post
Share on other sites

OK, dann heisst das also, dass DNS nicht richtig aufgelöst wird, oder? Er nimmt ja den DNS des ISP und nicht den DNS des DC. Wie kann ich das ändern?

Share this post


Link to post
Share on other sites

trage den dns deiner DC's im DC ein, zumindest als den primären DNS server. du brauchst den DNS deiner ISP nicht. der server, sofern du es nicht gelöscht hast, hat weiterleitungen zu den DNS root servern im internet.

 

ich meinte gelesen zu haben das du den DNs server deines ISP nur als sekundären server eingetragen hast!?

Share this post


Link to post
Share on other sites

Als bevorzugte DNS-Server sind auf beiden Seiten ausschliesslich Windows-DNS-Server eingetragen, KEINE ISP-Server oder Internetrouter. Es sollte auch mit Weiterleitungen funktionieren, bei sekundären Zonen MUSST Du die Zonenübertragung auch zulassen. Du hast also auf jedem Server (auf dem DC, der wahrscheinlich auch DNS-Server ist) eine bedingte Weiterleitung "Alle anderen DNS-Domänen", dessen IP-Adresse die des jeweiligen Internetproviders ist. Dann hast Du auf Seite A eine bedingte zur Domäne "arnika.local" und der IP-Adresse des DCs/DNS-Server von arnika.local (also 192.168.1.1). Auf dem DC/DNS-Server der Domäne "arnika.local" konfigurierst Du eine bedingte Weiterleitung zur Domäne "vermag.local" mit der entsprechenden IP-Adresse (192.168.0.1). Du hast erzählt, dass Du keine Weiterleitung einrichten konntest, das kann eigentlich nur den Grund haben, dass Du entweder eine "." Domäne hast oder dass Du in den Eigenschaften des DNS-Servers die Rekursion abgeschaltet hast ...

Ich glaube ebenso wie meine Kollegen, dass es nur ein DNS-Problem ist ...

Share this post


Link to post
Share on other sites

Ihr hattet tatsächlich recht!

Nachdem ich den DNS-Server des ISP als Alternative gelöscht und nur als Weiterleitung eingetragen hatte, konnte ich die Vertrauensstellung von beiden Seiten aus bestätigen und auch Netzlaufwerke bei allen Mitarbeitern mappen.

 

Tausend Dank für die Hilfe!

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...