cubedv 10 Geschrieben 10. Februar 2006 Melden Teilen Geschrieben 10. Februar 2006 Ich habe folgendes Problem: Habe zwei unterschiedliche W2k3 Domänen an unterschiedlichen Standorte. Die Standorte sind mit VPN Verbunden ich komme mittels Remotedesktop auf den jeweiligen Server und kann ihn auch administrieren. Nun möchte ich ein Vertrauensstellung einrichten. Ich habe wie in diesem Forum schon erwähnt in den beiden Servern im DNS eine sekundäre Zone der jeweiligen anderen Domäne eingetragen. Hat auch funktioniert ich kann die Domänen bzw. auch die Server mit dem Namen anpingen. Bei der Erstellung der Vertrauensstellung gebe ich den domänen Namen ein - anschliessend kann ich die bidirektionale Richtung auswählen - Vertrauensstellungsseite auswählen wähle ich für diese domäne und angegebene Domäne aus - anschliessend muß ich einen benutzernamen und ein kennwort eingeben - wenn ich die Domäne vor dem Benutzername eingebe kommt anschliessend - Zugriff verweigert und die herstellung der domäne wird abgbrochen - wenn ich nur den benutzername eingebe und das kennwort komme ich zum nächsten Bildschirm - Authentifizierungsebene zwei Mal anschliessend bricht die Herstellung wieder ab. was muß ich noch konfigurieren damit die vertrauensstellung funktioniert. Bitte um Rat. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 10. Februar 2006 Melden Teilen Geschrieben 10. Februar 2006 Bei forest-übergreiffenden Vetrauensstellungen brauchts scheinbar funktionierende NetBIOS/WINS Auflösung. Gruss Velius Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 10. Februar 2006 Melden Teilen Geschrieben 10. Februar 2006 also ich habe schon vertrauensstellungen gemacht ohne auch nur WINS installiert zu haben auf keinen der beiden domänen. das problem das du beschreibst ist, also bei mir war es so ;), das bei der herstellung der vertrauenstellung nicht ganz klar ist wenn er welchen admin aus welcher domäne er haben will und ob mit oder ohne vorangesteller domäne (domäne\administrator). ich bin dann kurzerhand hergegangen und habe zwei admins in beiden domänen angelegt die die selbe ID und PW hatten. diesen admins hatte ich vorsichtshalber auch schema admin, domänen admin und enterprise admin eingetragen, also ein admin der halt alles darf. einen versuch in dieses richtung ist es meiner meinung nach wert. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 10. Februar 2006 Melden Teilen Geschrieben 10. Februar 2006 Also wenn es Domänen im gleichen Forest/Tree sind, dann braucht es (eigentlich) keine Vetrauensstellungen, denn die gibt's schon im ganzen Forest und die sind transitiv nach oben und unten. Was man machen kann, sind Trust-Links, also Abkürzungen zu anderen Domänen, die weder parent noch child sind. Und dafür braucht man definitv Enterprise-Admin Rechte.... Zitieren Link zu diesem Kommentar
cubedv 10 Geschrieben 10. Februar 2006 Autor Melden Teilen Geschrieben 10. Februar 2006 Also die NetBIOS/WINS Auflösung habe ich kontrolliert und funktioniert auch der WINS Server ist gestartet und funktioniert. Ich hab das auch mit den zwei identischen Benutzer gemacht, mit dem Erfolg wenn ich domaine\benutzername eingebe jetzt weiter kommen zur authentifizierung aber zum schluss die meldung kommt: Der Vorgang kann nicht fortgesetzt werden. Die gerade erstellten Vertrauensstellungen können aufgrund des folgenden Fehlers nicht erstellt werden: Der Vorgang ist fehlgeschlagen. Fehler: Dieser Vorgang kann nicht auf der aktuellen Domäne ausgeführt werden. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 10. Februar 2006 Melden Teilen Geschrieben 10. Februar 2006 Sag doch erstmal ob es ein Forest ist oder nicht. Wenn es sich um blos einen Forest ghandelt ist das Problem ziemlich schnell vom Tisch... Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 10. Februar 2006 Melden Teilen Geschrieben 10. Februar 2006 @Hirgelzwift das problem das du beschreibst ist, also bei mir war es so ;), das bei der herstellung der vertrauenstellung nicht ganz klar ist wenn er welchen admin aus welcher domäne er haben will und ob mit oder ohne vorangesteller domäne (domäne\administrator). Das ist zeimlich einfach, ich glaube es steht auch dran, welchen er will, den Admin aus der anderen also der Zieldomäne. Mit dem aktuellen aus der Domäne, in welcher der Vorgang durchgeführt wird, ist man ja i.d.R. schon angemeldet. @Velius Bei forest-übergreiffenden Vetrauensstellungen brauchts scheinbar funktionierende NetBIOS/WINS Auflösung Niet. 2k/2k3 bruacht unabdingbar die DNS-Namensauflösung, die ist ja hier wohl gegeben, wenn alle SRV-Records korrekt eingetragen sind. @cubedv Steht was im Log, wenn er mit der Meldung abbricht? Wichtig wäre, wie schon Velius gesagt, welche Art der Domänen/Forests es sind, bzw. in welchem Modus? grizzly999 Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 10. Februar 2006 Melden Teilen Geschrieben 10. Februar 2006 @Velius Niet. 2k/2k3 bruacht unabdingbar die DNS-Namensauflösung, die ist ja hier wohl gegeben, wenn alle SRV-Records korrekt eingetragen sind. :suspect: Forest-übergreiffend..... Wo willst du denn die SRV gespeichert haben bei einem anderen Forest. Da kannst du nur mit sekundären Zonen (oder bedingter Weiterleitung) arbeiten. Ausserdem gibt's eine Artikel gepostet von Gadget hier im Board, da steht, dass NetBIOS/WINS unabdingbar sei. Ausserdem hab ich nicht gesagt, dass es DNS nicht braucht.... Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 10. Februar 2006 Melden Teilen Geschrieben 10. Februar 2006 Ja, Forest-Übergreifend. Wie du grad geasgt hast, er muss die SRV-Records der anderen Domäne finden, ob sekundäre Zone oder Stub Zone oder Cond. Forwarding ist egal. Kenne jetzt Kohn's Beitrag nicht, aber es ist definitiv keine NetBIOS-Namensauflösung nötig, nur zu NT 4.0 Domänen. grizzly999 Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 10. Februar 2006 Melden Teilen Geschrieben 10. Februar 2006 ...ok, vergessen wir's. In dem von Gadget verlinkten Artikel steht auch nirgends, dass es grundsätzlich nicht geht, nur dass es zu Kollisionen kommen kann (Beispiel: test.local und test.com, da sie beide identische NetBIOS namen haben). Allerdings ist das für mich eine Frage der Konzeption.... Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 10. Februar 2006 Melden Teilen Geschrieben 10. Februar 2006 @cubedv: konnte dir diese diskussion helfen? konntest du den trust einrichten oder hast du noch fragen? Zitieren Link zu diesem Kommentar
cubedv 10 Geschrieben 20. Februar 2006 Autor Melden Teilen Geschrieben 20. Februar 2006 Hallo, War in Urlaub letzte Woche. Danke für die Meldungen. Also es handelt sich um zwei unterschiedlichen Domänen. test.at und test.sk d.h. die NetBios Namensauflösung ist die gleiche test. vielleicht liegt hier das problem. Fehlermeldung bekomme ich keine. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 20. Februar 2006 Melden Teilen Geschrieben 20. Februar 2006 test.at und test.sk d.h. die NetBios Namensauflösung ist die gleiche test. vielleicht liegt hier das problem. Genau das.... Hi Velius, meine Betonung lag auf meistens.... ich wiederhole nur was Microsoft offiziell in dem Webcast beschreibt. (Daniel Melanchthon ist kein MVP mehr... sondern Microsoft-Mitarbeiter) Und das es ohne geht is ja auch klar... wenn Netbios over TCP/IP deaktiviert wird und ein "Direct Hosting of SMB" gefahren wird ... greift nur DNS is ja eigentlich klar. Man muss halt mit manchen Abstrichen leben hat dafür aber eine erhöhte Sicherheit. Hier gibts mehr dazu unter Unexpected Consequences: Understanding NetBIOS and Windows Server 2003 http://www.windowsdevcenter.com/pub...11/netbios.html LG Gadget Vor allem im gelinkten Artikel steht, dass das nicht geht, egal wie. Als Workaround fällt mir nur die Migration in einen anderen Forest (mit anderem NeBIOS namen!) ein, und dann den Trust herstellen... Gruss Velius Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.