Vertrauensstellung einrichten (zu dumm?)

[NinjaGubler 10]

Hallo Leute

 

Ich hab 2 Domains.

 

A) test1.ch (Win2003) (10.0.1.x)

B) test2.ch (Win2000) (10.0.2.x)

 

Ich gehe auf AD-Domänen und Vertrauenstellungen und versuch die Vertrauensstellung zu erstellen. Als Resultat meldet er, die angegebene Domäne konnte nicht gefunden werden.

 

Die Domänen sind transparent (IPSec) verbunden.

 

Was muss ich tun, damit so eine Vertrauensstellung funktioniert? Hab bisher keine Erfahrungen damit gemacht, danke für eure Hife im Voraus!

[woiza 10]

Kannst du die DCs per DNS gegenseitig auflösen?

[NinjaGubler 10]

mit ping -a IP löst er mir der hostname auf (aber ohne domain)

d.h. ping -a 10.0.2.1 --> Ping wird ausgeführt für DBSERVER [10.0.2.1]

 

wenn ich ping dbserver oder ping dbserver.domain.ch mache kann er es nicht auflösen. dasselbe spie lauf der gegenseite

[IThome 10]

Du kannst bedingte Weiterleitungen (2003) konfigurieren, die auf den jeweils anderen zeigen. Es funktioniert auch mit sekundären Zonen oder Stubzonen (2003) ...

[woiza 10]

Dann solltest du das DNS-Problem lösen, dann gehts. Welchen Vertrauensstellungstyp willst du denn herstellen?

 

Gruß

 

woiza

[NinjaGubler 10]

Auf DNS Server rechte Maustaste Eigenschaften - Weiterleitung hab ich Domäne und PDC der anderen Domäne angegeben. Oder meinst du was anderes mit Weiterleitung?

 

Vertrauenstyp bi - also auf beiden Seiten - Vertraunsstellung mit anderer Windows Domäne

[IThome 10]

Du erstellst dort unter Neu den Domänennamen der gegenüberliegenden Seite und trägst die dazugehörige IP-Adresse des DNS-Servers der Gegenseite ein, sonst leitet der Server alles, was er nicht kennt, dorthin (Alle anderen DNS-Domänen)

[woiza 10]

Hi,

 

schau dir mal technet an. Dort gehst du auf bedingte Weiterleitung. DNS ist bei AD das A&O. Bevor du da nicht 100% firm bist, brauchst du dir über Vertrauensstellungen keine großen Gedanken machen. 90 % der AD-Probleme sind in Wirklichkeit DNS-Probleme.

 

Hier gibts auch noch ne schöne Beschreibung für Conditional Forwarding.

 

Gruß

 

woiza

[NinjaGubler 10]

hatte ich so gemacht, jedoch ohne erfolg

[woiza 10]

hatte ich so gemacht, jedoch ohne erfolg

 

 

Hi,

 

schau dir mal den link an, da gibt's Screenshots. Du musst das Forwarding auf beiden Seiten einrichten. PDCs hast du übrigens keine mehr.

 

Ach, jetzt sehe ich gerade, dass du auf einer Seite W2k hast. Da war noch nix mit Conditional Forwarding. Jetzt kommts auf deine Struktur an. Entweder machst du auf der 2000er Kiste ein Forwarding für alles oder (schöner) du führst die Forward-Zone des anderen AD sekundär. Musst du nur sschauen, dass die Zonenübertragung erlaubt ist.

 

Gruß

 

woiza

[NinjaGubler 10]

Also auf Windows Server 2003 Seite funktionierts...

Auf 2000er noch das selbe.

 

Ich versuchs mal mit Sekundär einrichten

[NinjaGubler 10]

ne leider nicht. meldung domäne nicht erreichbar, obwohl ich alles anpingen kann

[woiza 10]

mach mal NSLookup, danach portquery -> immer in beide Richtungen

[NinjaGubler 10]

hab das tool runtergeladen (mit grafische roberfläche.)

nach was such ich konkret? also resultate bekomme ich (beispielsweise von LDAP, mir korrekten informationen).

[woiza 10]

Du kannst in der GUI doch einstellen, was du scannen willst. Da stellst du auf Domains and Trusts oder so ähnlich und machst auf beiden Seiten den Scan. Dann speicherst du das Log und suchst im Notepad nach 0x0. So kommst du am schnellsten zu allen Resultaten. Sollte eines oder mehrere dieser 0x0-Felder mit 1 oder 2, statt mit 0 aufhören, postest du am besten hier die entsprechenden Ports.

 

Bei nslookup solltest du auf beiden Seiten einen NSLookup auf die Domäne machen, nicht auf den DC und dann den/die DCs zurückgeliefert bekommen. Am besten postest du hier das Ergebnis.

 

Gruß

 

woiza