Jump to content
Sign in to follow this  
cubedv

Vertrauensstelung zw. w2k3 <->w2k3 Domänen

Recommended Posts

Ich habe folgendes Problem:

 

Habe zwei unterschiedliche W2k3 Domänen an unterschiedlichen Standorte.

Die Standorte sind mit VPN Verbunden ich komme mittels Remotedesktop auf den jeweiligen Server und kann ihn auch administrieren. Nun möchte ich ein Vertrauensstellung einrichten. Ich habe wie in diesem Forum schon erwähnt in den beiden Servern im DNS eine sekundäre Zone der jeweiligen anderen Domäne eingetragen. Hat auch funktioniert ich kann die Domänen bzw. auch die Server mit dem Namen anpingen.

Bei der Erstellung der Vertrauensstellung gebe ich den domänen Namen ein - anschliessend kann ich die bidirektionale Richtung auswählen - Vertrauensstellungsseite auswählen wähle ich für diese domäne und angegebene Domäne aus - anschliessend muß ich einen benutzernamen und ein kennwort eingeben - wenn ich die Domäne vor dem Benutzername eingebe kommt anschliessend - Zugriff verweigert und die herstellung der domäne wird abgbrochen - wenn ich nur den benutzername eingebe und das kennwort komme ich zum nächsten Bildschirm - Authentifizierungsebene zwei Mal anschliessend bricht die Herstellung wieder ab.

was muß ich noch konfigurieren damit die vertrauensstellung funktioniert.

Bitte um Rat.

Share this post


Link to post
Share on other sites

also ich habe schon vertrauensstellungen gemacht ohne auch nur WINS installiert zu haben auf keinen der beiden domänen.

 

das problem das du beschreibst ist, also bei mir war es so ;), das bei der herstellung der vertrauenstellung nicht ganz klar ist wenn er welchen admin aus welcher domäne er haben will und ob mit oder ohne vorangesteller domäne (domäne\administrator). ich bin dann kurzerhand hergegangen und habe zwei admins in beiden domänen angelegt die die selbe ID und PW hatten. diesen admins hatte ich vorsichtshalber auch schema admin, domänen admin und enterprise admin eingetragen, also ein admin der halt alles darf.

 

einen versuch in dieses richtung ist es meiner meinung nach wert.

Share this post


Link to post
Share on other sites

Also wenn es Domänen im gleichen Forest/Tree sind, dann braucht es (eigentlich) keine Vetrauensstellungen, denn die gibt's schon im ganzen Forest und die sind transitiv nach oben und unten. Was man machen kann, sind Trust-Links, also Abkürzungen zu anderen Domänen, die weder parent noch child sind. Und dafür braucht man definitv Enterprise-Admin Rechte....

Share this post


Link to post
Share on other sites

Also die NetBIOS/WINS Auflösung habe ich kontrolliert und funktioniert auch der WINS Server ist gestartet und funktioniert.

Ich hab das auch mit den zwei identischen Benutzer gemacht, mit dem Erfolg wenn ich domaine\benutzername eingebe jetzt weiter kommen zur authentifizierung aber zum schluss die meldung kommt:

 

Der Vorgang kann nicht fortgesetzt werden.

Die gerade erstellten Vertrauensstellungen können aufgrund des folgenden Fehlers nicht erstellt werden:

Der Vorgang ist fehlgeschlagen. Fehler: Dieser Vorgang kann nicht auf der aktuellen Domäne ausgeführt werden.

Share this post


Link to post
Share on other sites

@Hirgelzwift

das problem das du beschreibst ist, also bei mir war es so ;), das bei der herstellung der vertrauenstellung nicht ganz klar ist wenn er welchen admin aus welcher domäne er haben will und ob mit oder ohne vorangesteller domäne (domäne\administrator).

Das ist zeimlich einfach, ich glaube es steht auch dran, welchen er will, den Admin aus der anderen also der Zieldomäne. Mit dem aktuellen aus der Domäne, in welcher der Vorgang durchgeführt wird, ist man ja i.d.R. schon angemeldet.

 

@Velius

Bei forest-übergreiffenden Vetrauensstellungen brauchts scheinbar funktionierende NetBIOS/WINS Auflösung

Niet. 2k/2k3 bruacht unabdingbar die DNS-Namensauflösung, die ist ja hier wohl gegeben, wenn alle SRV-Records korrekt eingetragen sind.

 

@cubedv

Steht was im Log, wenn er mit der Meldung abbricht? Wichtig wäre, wie schon Velius gesagt, welche Art der Domänen/Forests es sind, bzw. in welchem Modus?

 

grizzly999

Share this post


Link to post
Share on other sites

@Velius

 

Niet. 2k/2k3 bruacht unabdingbar die DNS-Namensauflösung, die ist ja hier wohl gegeben, wenn alle SRV-Records korrekt eingetragen sind.

 

 

:suspect: Forest-übergreiffend..... Wo willst du denn die SRV gespeichert haben bei einem anderen Forest. Da kannst du nur mit sekundären Zonen (oder bedingter Weiterleitung) arbeiten. Ausserdem gibt's eine Artikel gepostet von Gadget hier im Board, da steht, dass NetBIOS/WINS unabdingbar sei. Ausserdem hab ich nicht gesagt, dass es DNS nicht braucht....

Share this post


Link to post
Share on other sites

Ja, Forest-Übergreifend. Wie du grad geasgt hast, er muss die SRV-Records der anderen Domäne finden, ob sekundäre Zone oder Stub Zone oder Cond. Forwarding ist egal.

Kenne jetzt Kohn's Beitrag nicht, aber es ist definitiv keine NetBIOS-Namensauflösung nötig, nur zu NT 4.0 Domänen.

 

grizzly999

Share this post


Link to post
Share on other sites

...ok, vergessen wir's. In dem von Gadget verlinkten Artikel steht auch nirgends, dass es grundsätzlich nicht geht, nur dass es zu Kollisionen kommen kann (Beispiel: test.local und test.com, da sie beide identische NetBIOS namen haben). Allerdings ist das für mich eine Frage der Konzeption....

Share this post


Link to post
Share on other sites

Hallo,

War in Urlaub letzte Woche.

Danke für die Meldungen.

Also es handelt sich um zwei unterschiedlichen Domänen.

test.at und test.sk d.h. die NetBios Namensauflösung ist die gleiche test.

vielleicht liegt hier das problem.

Fehlermeldung bekomme ich keine.

Share this post


Link to post
Share on other sites

test.at und test.sk d.h. die NetBios Namensauflösung ist die gleiche test.

vielleicht liegt hier das problem.

 

Genau das....

 

Hi Velius,

 

meine Betonung lag auf meistens.... ich wiederhole nur was Microsoft offiziell in dem Webcast beschreibt.

 

(Daniel Melanchthon ist kein MVP mehr... sondern Microsoft-Mitarbeiter)

 

Und das es ohne geht is ja auch klar... wenn Netbios over TCP/IP deaktiviert wird und ein "Direct Hosting of SMB" gefahren wird ... greift nur DNS is ja eigentlich klar.

 

Man muss halt mit manchen Abstrichen leben hat dafür aber eine erhöhte Sicherheit.

 

Hier gibts mehr dazu unter Unexpected Consequences:

 

Understanding NetBIOS and Windows Server 2003

http://www.windowsdevcenter.com/pub...11/netbios.html

 

LG Gadget

 

 

Vor allem im gelinkten Artikel steht, dass das nicht geht, egal wie. Als Workaround fällt mir nur die Migration in einen anderen Forest (mit anderem NeBIOS namen!) ein, und dann den Trust herstellen...

 

 

Gruss

Velius

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...