Jump to content

Vertrauensstelung zw. w2k3 <->w2k3 Domänen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ich habe folgendes Problem:

 

Habe zwei unterschiedliche W2k3 Domänen an unterschiedlichen Standorte.

Die Standorte sind mit VPN Verbunden ich komme mittels Remotedesktop auf den jeweiligen Server und kann ihn auch administrieren. Nun möchte ich ein Vertrauensstellung einrichten. Ich habe wie in diesem Forum schon erwähnt in den beiden Servern im DNS eine sekundäre Zone der jeweiligen anderen Domäne eingetragen. Hat auch funktioniert ich kann die Domänen bzw. auch die Server mit dem Namen anpingen.

Bei der Erstellung der Vertrauensstellung gebe ich den domänen Namen ein - anschliessend kann ich die bidirektionale Richtung auswählen - Vertrauensstellungsseite auswählen wähle ich für diese domäne und angegebene Domäne aus - anschliessend muß ich einen benutzernamen und ein kennwort eingeben - wenn ich die Domäne vor dem Benutzername eingebe kommt anschliessend - Zugriff verweigert und die herstellung der domäne wird abgbrochen - wenn ich nur den benutzername eingebe und das kennwort komme ich zum nächsten Bildschirm - Authentifizierungsebene zwei Mal anschliessend bricht die Herstellung wieder ab.

was muß ich noch konfigurieren damit die vertrauensstellung funktioniert.

Bitte um Rat.

Link zu diesem Kommentar

also ich habe schon vertrauensstellungen gemacht ohne auch nur WINS installiert zu haben auf keinen der beiden domänen.

 

das problem das du beschreibst ist, also bei mir war es so ;), das bei der herstellung der vertrauenstellung nicht ganz klar ist wenn er welchen admin aus welcher domäne er haben will und ob mit oder ohne vorangesteller domäne (domäne\administrator). ich bin dann kurzerhand hergegangen und habe zwei admins in beiden domänen angelegt die die selbe ID und PW hatten. diesen admins hatte ich vorsichtshalber auch schema admin, domänen admin und enterprise admin eingetragen, also ein admin der halt alles darf.

 

einen versuch in dieses richtung ist es meiner meinung nach wert.

Link zu diesem Kommentar

Also wenn es Domänen im gleichen Forest/Tree sind, dann braucht es (eigentlich) keine Vetrauensstellungen, denn die gibt's schon im ganzen Forest und die sind transitiv nach oben und unten. Was man machen kann, sind Trust-Links, also Abkürzungen zu anderen Domänen, die weder parent noch child sind. Und dafür braucht man definitv Enterprise-Admin Rechte....

Link zu diesem Kommentar

Also die NetBIOS/WINS Auflösung habe ich kontrolliert und funktioniert auch der WINS Server ist gestartet und funktioniert.

Ich hab das auch mit den zwei identischen Benutzer gemacht, mit dem Erfolg wenn ich domaine\benutzername eingebe jetzt weiter kommen zur authentifizierung aber zum schluss die meldung kommt:

 

Der Vorgang kann nicht fortgesetzt werden.

Die gerade erstellten Vertrauensstellungen können aufgrund des folgenden Fehlers nicht erstellt werden:

Der Vorgang ist fehlgeschlagen. Fehler: Dieser Vorgang kann nicht auf der aktuellen Domäne ausgeführt werden.

Link zu diesem Kommentar

@Hirgelzwift

das problem das du beschreibst ist, also bei mir war es so ;), das bei der herstellung der vertrauenstellung nicht ganz klar ist wenn er welchen admin aus welcher domäne er haben will und ob mit oder ohne vorangesteller domäne (domäne\administrator).

Das ist zeimlich einfach, ich glaube es steht auch dran, welchen er will, den Admin aus der anderen also der Zieldomäne. Mit dem aktuellen aus der Domäne, in welcher der Vorgang durchgeführt wird, ist man ja i.d.R. schon angemeldet.

 

@Velius

Bei forest-übergreiffenden Vetrauensstellungen brauchts scheinbar funktionierende NetBIOS/WINS Auflösung

Niet. 2k/2k3 bruacht unabdingbar die DNS-Namensauflösung, die ist ja hier wohl gegeben, wenn alle SRV-Records korrekt eingetragen sind.

 

@cubedv

Steht was im Log, wenn er mit der Meldung abbricht? Wichtig wäre, wie schon Velius gesagt, welche Art der Domänen/Forests es sind, bzw. in welchem Modus?

 

grizzly999

Link zu diesem Kommentar

@Velius

 

Niet. 2k/2k3 bruacht unabdingbar die DNS-Namensauflösung, die ist ja hier wohl gegeben, wenn alle SRV-Records korrekt eingetragen sind.

 

 

:suspect: Forest-übergreiffend..... Wo willst du denn die SRV gespeichert haben bei einem anderen Forest. Da kannst du nur mit sekundären Zonen (oder bedingter Weiterleitung) arbeiten. Ausserdem gibt's eine Artikel gepostet von Gadget hier im Board, da steht, dass NetBIOS/WINS unabdingbar sei. Ausserdem hab ich nicht gesagt, dass es DNS nicht braucht....

Link zu diesem Kommentar
  • 2 Wochen später...

test.at und test.sk d.h. die NetBios Namensauflösung ist die gleiche test.

vielleicht liegt hier das problem.

 

Genau das....

 

Hi Velius,

 

meine Betonung lag auf meistens.... ich wiederhole nur was Microsoft offiziell in dem Webcast beschreibt.

 

(Daniel Melanchthon ist kein MVP mehr... sondern Microsoft-Mitarbeiter)

 

Und das es ohne geht is ja auch klar... wenn Netbios over TCP/IP deaktiviert wird und ein "Direct Hosting of SMB" gefahren wird ... greift nur DNS is ja eigentlich klar.

 

Man muss halt mit manchen Abstrichen leben hat dafür aber eine erhöhte Sicherheit.

 

Hier gibts mehr dazu unter Unexpected Consequences:

 

Understanding NetBIOS and Windows Server 2003

http://www.windowsdevcenter.com/pub...11/netbios.html

 

LG Gadget

 

 

Vor allem im gelinkten Artikel steht, dass das nicht geht, egal wie. Als Workaround fällt mir nur die Migration in einen anderen Forest (mit anderem NeBIOS namen!) ein, und dann den Trust herstellen...

 

 

Gruss

Velius

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...