Jump to content

Vetrauensstellung zwischen zwei Domänen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe ein Problem mit meiner Vertrauenstellung und tippe, nachdem ich nun das Forum durchforstet habe, auf ein DNS-Problem, das ich aber leider nicht lösen kann.

 

Habe zwei Standorte mit eigenständiger W2k3-Domäne (DC mit AD, DNS) im "Windows 2000 pur-Modus" über ein VPN verbunden. Die beiden DCs kann man pingen und erhält eine Antwort. In Domäne B konnte ich eine Vertrauensstellung zu Domäne A einrichten, leider aber nur eine externe, nicht transitive Vertrauensstellung. Anschliessend konnte ich in Domäne A Netzlaufwerke des DCs in Domäne B mappen. Leider aber nicht umgekehrt: ich kann nicht in Domäne B Netzlaufwerke des DCs der Domäne A mappen. Erhalte dann immer die Fehlermeldung "Anmeldeserver nicht vorhanden".

 

Daher habe ich versucht eine Vertrauensstellung in Domäne A einzurichten und erhalte die Fehlermeldung "Domäne nicht gefunden", auch wenn ich eine sekundäre Zone oder eine Weiterleitung einrichte. Liegt das an der Namensauflösung und was kann ich tun?

 

Danke für's Feedback!

Link zu diesem Kommentar

als allererstes kannst du soweit ich weis zwischen zwei domänen in W2K modus im nachhinein keine transitive vertrauenstellung bauen. das geht erst ab W2K3. in W2K geht das nur zwischen subdomänen einer gesamtstruktur.

 

ich gehe davon aus das du in der tat ein dns problem hast. du brauchst auf beiden domänen eine zone für die jeweils andere zone und musst in der lage sein das du die server gegenseitig FQ anzupingen.

Link zu diesem Kommentar

Da hat Hirgelzwift recht, einen Foresttrust (der dann transitiv ist) kannst Du nur erzeugen, wenn Deine Forests den Betriebsmodus Windows Server 2003 haben. Wie hast Du denn Deine Weiterleitungen konfiguriert, hast Du auf beiden DCs eine bedingte Weiterleitung mit dem Ziel des jeweils anderen Domänennamens (unter "DNS-Domäne") und den dazugehörigen IP-Adressen der dortigen DNS-Server eingetragen ?

Link zu diesem Kommentar

Hi

 

in Domäne B habe ich nun eine sekundäre Zone mit Domäne A. Hatte vorher nur eine Weiterleitung, die musste ich rausschmeissen um eine sekundäre Zone zu erstellen. In Domäne A habe ich komischerweise eine sekundäre Zone mit Domäne B und eine Weiterleitung einrichten können.

 

Pingen kann ich beide Server und erhalte Antwort. Was heisst FQ?

 

Ok, ich habe nur den Betriebsmodus "Windows 2000 pur" auf beiden Servern, aber das transitive ist ja auch nicht so wichtig, wenn ich nur einen DC pro Domäne habe, oder?

 

In Domäne A habe ich folgendermassen eine Weiterleitung eingerichtet: Verwaltung -> DNS -> Servername mit rechter Maustaste -> Eigenschaften -> Registerkarte Weiterleitungen -> Neu arnika.local (Domäne B), IP 192.168.1.1 (DC Domäne B).

In Domäne B musste ich wie gesagt die Weiterleitung rausschmeissen um die sekundäre Zone einzurichten.

 

Ich habe aber nun in beiden eine sekundäre Zone der anderen Domäne. In Domäne A habe ich einen Zonennamen arnika.local eingegeben mit IP 192.168.1.1 und in Domäne B den Zonennamen vermag.local mit IP 192.168.0.1. In der Forward-lookup-zone erscheinen die jeweiligen sekundären Zonen mit allen Workstations und IPs der anderen Domäne.

 

Aber die Vertrauensstellung funktioniert nicht. In Domäne B haben ich die existierende gelöscht und nochmal neu eingerichtet. Dort werde ich nach Eingabe des dns-Namens vermag.local schon nach der Richtung (bidirektional...) gefragt und kann die Vertrauensstellung einrichten. In Domäne A hingegen erscheint nach Eingabe des dns Namens arnika.local nur die Auswahl zwischen Bereichsvertrauensstellung und Vertrauensstellung mit einer Windows-Domäne, was ich dann auch ausgewählt und den vorgeschlagenen Domänennamen arnika.local so beibelassen habe. danach ist Schluss und es heisst Domäne nicht gefunden.

 

In der Ereignisanzeige der Domäne A habe ich unter System den Fehler 5781, jedoch nur einmal am Tag und nicht alle zwei Stunden. Unter DNS-Server erhalte ich das Ereignis 6702, jedoch nur nach einem Neustart. Kann es daran liegen oder daran, dass ich in den Bereichsoptionen (DHCP) als DNS an zweiter Stelle den DNS-Server des ISP eingetragen habe. An erster Stelle ist unser DC eingetragen?

 

Oder liegt es eher an Berechtigungen? Ich kann in Domäne B keine Netzlaufwerke von DC A mappen unter den Benutzern der Domäne B. Wähle ich jedoch "unter anderem Benutzernamen verbinden" und trage einen Benutzer der Domäne A ein, kann ich das Netzlaufwerk mappen.

Link zu diesem Kommentar

1. transistive vertrauensstellungen sind eigentlich nur wichtig wenn du ein multi domänen kozept hast. will sagen transistiv bedeutet das wenn domäne A domäne B traut und domäne C ist eine subdomäne von domäne A dann vertraut C automatisch B und umgekehrt. transistiv ist auch immer two way.

 

2. berechtigungen kannst du erreichen das du die domänen admins der domäne A in die gruppen der domänen admins der domäne B einträgst und umgekeht. das selbe gilt sinngemäß für die benutzer. ausserdem gibt es dann universelle gruppen und du kannst die universellen gruppen in lokale gruppen aufnehmen die dann die berechtigungen steuern.

 

warum du probleme mit der vertrauenstellung als solches ist ist mir ein rätsel. ich habe das zugeben nicht oft gemacht aber ich konnte immer direkt eine zweiseitige vertrauenstellung von einem DC aus einer domäne einrichten sofern die DNS auflösung funzte und ich die PW und Admindaten im format domäne\administrator richtig gesetzt hatte.

Link zu diesem Kommentar

1. ok, können wir vergessen.

 

2. Bedeutet das, ich muss alle Benutzer der Domäne B in der Domäne A erst eintragen??? Ich habe auch keine Benutzer der Domäne A in der Domäne B eingetragen und kann Laufwerke des DCs der Domäne B in der Domäne A mappen.

 

3. Wenn ich in Domäne B eine zweiseitige Vertrauensstellung einrichten kann, müsste ich doch eigentlich in Domäne A keine Vertrauensstellung mehr einrichten, oder? Sonst wäre sie ja nicht zweiseitig. Waran erkenne ich, dass die dns auflösung korrekt läuft? Mit nslookup? Was muss da genau stehen?

 

PW und Admindaten im Format domäne\administrator meinst Du für die Erstellung der Vertrauensstellung?

Link zu diesem Kommentar
2. Bedeutet das, ich muss alle Benutzer der Domäne B in der Domäne A erst eintragen??? Ich habe auch keine Benutzer der Domäne A in der Domäne B eingetragen und kann Laufwerke des DCs der Domäne B in der Domäne A mappen.

 

Nein, der Trust bedeutet, dass ein User von Domain A sich an einem Rechner der Domain B aus an Domain A anmelden kann.

 

und zu 3:

 

Ja, zweiseitig heisst nur, dass dann auch in Gegenrichtung ein Trust eingerichtet wird.

 

Ob DNS Auflösung funktioniert, kannst Du in der Tat mit "nslookup" testen.

nslookup domain.name und nslookup dc.domain.name.

 

Christoph

Link zu diesem Kommentar

ich habe versucht die eingerichtete Vertrauensstellung in Domäne B zu bestätigen und bekomme folgenden Fehler:

Die Überprüfung der eingehenden Vertrauensstellung ist mit folgendem Fehler bzw. folgenden Fehlern fehlgeschlagen: Die Überprüfung des Vertrauensstellungskennwortes war nicht eindeutig. Es wird versucht, den sicheren Kanal zurückzusetzen. Das Zurücksetzten des sicheren Kanals ist mit folgendem Fehler fehlgeschlagen: 1311 Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar.

Die ausgehende Vertrauensstellung wurde verifiziert. Sie befindet sich am richtigen Ort und ist aktiv.

 

Bei der Einrichtung der Bidirektionalen Vertrauensstellung wurde ich nach einem berechtigten Benutzer gefragt und habe dort das Administratoren-Login der Domäne A im Format domäne\administrator eingegeben. Das war anscheinend falsch?

 

bei nslookup vermag.local erhalte ich:

H:\>nslookup vermag.local

*** Der Servername für die Adresse 192.168.1.1 konnte nicht gefunden werden:

Non-existent domain

Server: ns0.ch.easynet.net

Address: 217.8.192.51

*** vermag.local wurde von ns0.ch.easynet.net nicht gefunden: Server failed

 

217.8.192.51. ist der DNS-Server unseres ISP. Sollte das so sein?

Link zu diesem Kommentar

Als bevorzugte DNS-Server sind auf beiden Seiten ausschliesslich Windows-DNS-Server eingetragen, KEINE ISP-Server oder Internetrouter. Es sollte auch mit Weiterleitungen funktionieren, bei sekundären Zonen MUSST Du die Zonenübertragung auch zulassen. Du hast also auf jedem Server (auf dem DC, der wahrscheinlich auch DNS-Server ist) eine bedingte Weiterleitung "Alle anderen DNS-Domänen", dessen IP-Adresse die des jeweiligen Internetproviders ist. Dann hast Du auf Seite A eine bedingte zur Domäne "arnika.local" und der IP-Adresse des DCs/DNS-Server von arnika.local (also 192.168.1.1). Auf dem DC/DNS-Server der Domäne "arnika.local" konfigurierst Du eine bedingte Weiterleitung zur Domäne "vermag.local" mit der entsprechenden IP-Adresse (192.168.0.1). Du hast erzählt, dass Du keine Weiterleitung einrichten konntest, das kann eigentlich nur den Grund haben, dass Du entweder eine "." Domäne hast oder dass Du in den Eigenschaften des DNS-Servers die Rekursion abgeschaltet hast ...

Ich glaube ebenso wie meine Kollegen, dass es nur ein DNS-Problem ist ...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...