RemoteInstallation bei Vertrauensstellung

[cgoetze 10]

Hi,

 

ich habe folgendes Problem:

 

Sobald ich eine Vertrauensstellung von Domäne A zu einer anderen Domäne B hergestellt habe, kann ich nicht mehr über diverse Remote-Installations-Programmen Programme/Agenten etc. auf Rechner in der entfernten Domäne installieren, in der lokalen funktioniert es wie gewohnt.

 

Folgende Fehlermeldungen tauchen auf:

 

Etrust ITM: Der Benuter hat keine Administratorrechte. (Das taucht sowohl beim lokalen Admin also auch beim Domänen-Admin auf)

 

BackupExec: Fehler beim Verbinden mit der Remote-Registreirung. Vergewissern sie sich, dass der Zugang zur Remote-Registrierung zugänglich ist und für das aktuelle Konto nicht blockiert ist. (Login mit Domänen-Admin)

 

Entferne ich die Vertrauensstellung wieder funktioniert alles wie gewünscht. Hat jemand von Euch eine Idee woran das liegen kann?

 

Viele Grüße

Christiane

[nobex 10]

Hast Du nach dem Anlegen der Vertrauensstellung auch die 'übergreifenden' Gruppenmitgliedschaften konfiguriert, also Dom-Admins von DomA -> DomB usw.?

[cgoetze 10]

Die Admins sind Mitglied der Gruppe "Administratoren" in der jeweils entfernten Domäne.

 

Viele Grüße

Christiane

[nobex 10]

Die Admins sind Mitglied der Gruppe "Administratoren" in der jeweils entfernten Domäne.

HAndelt es sich evtl. um Memberserver? Sind die Admins der 'fremden' Domäne auch Mitglieder der lok. Admingruppen?

[cgoetze 10]

Nein, in beiden Domänen gibt es nur Domänencontroller. Lokale Adminrechte bekommen die DomAdmins doch eh durch die Mitgliedschaft in der "Administrator-Gruppe", oder?

 

Abgesehen davon funktioniert die Remoteinstallation ja ohne Vertrauensstellung mit dem jeweiligen DomAdmin bzw. lokalen (bei Client Installation). Nur sobald die Vertrauensstellung eingeschalet ist eben nicht mehr.

[nobex 10]

Nein, in beiden Domänen gibt es nur Domänencontroller. Lokale Adminrechte bekommen die DomAdmins doch eh durch die Mitgliedschaft in der "Administrator-Gruppe", oder?

Aber die Mitgliedschaft in den Lok. Admingruppen wird standardmäßig nur den Dom-Admins der eigenen Domäne erteilt.

Abgesehen davon funktioniert die Remoteinstallation ja ohne Vertrauensstellung mit dem jeweiligen DomAdmin bzw. lokalen (bei Client Installation). Nur sobald die Vertrauensstellung eingeschalet ist eben nicht mehr.

Haben die Admins in beiden Domänen gleiche Usernamen/Kennwörter? Dann würde im Falle ohne Trust eine separate Beglaubigung beim ersten Zugriff stattfindin, mit Trust werden die Konten der vertrauten Domäne auf die entspr. Berechtigungen geprüft.

[cgoetze 10]

Aber die Mitgliedschaft in den Lok. Admingruppen wird standardmäßig nur den Dom-Admins der eigenen Domäne erteilt.[/b]

 

Hab testweise mal auf einen Client den Domänen-Admins lokale Adminrechte gegeben. Funktionert! Danke!

 

Haben die Admins in beiden Domänen gleiche Usernamen/Kennwörter?

 

Die Dom-Admins haben gleiche Benutzernamen aber unterschiedliche Kennworte.

 

Dann würde im Falle ohne Trust eine separate Beglaubigung beim ersten Zugriff stattfindin, mit Trust werden die Konten der vertrauten Domäne auf die entspr. Berechtigungen geprüft.

 

Was aber nicht erklärt warum das Problem auftaucht wenn ich mich am Client explizit mit DomB\Administrator oder mit dem lokalen Admin des Clients anmelde. Dann würde es doch garnicht zu einer Prüfung Rechte der Benutzerkonten der vertrauten Domäne kommen, auch wenn von dort die Installation initiiert wurde, oder?

[nobex 10]

Zum Verständnis versuche ich mal zusammenzufassen:

- DomA und DomB vertrauen sich beidseitig

- die Backup-SW versucht (von einem Rechner) aus DomA auf einen DC in DomB zuzugreifen -> es kommt zur Fehlermeldung

 

Weiter Frage:

Hast Du in der Backup-SW die Anmeldeinfos samt Domäne hinterlegt, also 'DomB\Admin' und entspr. Kennwort aus DomB?

[cgoetze 10]

- DomA und DomB vertrauen sich beidseitig

Richtig!

 

- die Backup-SW versucht (von einem Rechner) aus DomA auf einen DC in DomB zuzugreifen -> es kommt zur Fehlermeldung

-Die Backup-SW läuft auf einem DC aus DomA und versucht den BackupAgent auf einen DC in DomB zu installieren.

 

-Virenscanner läuft auf DC aus DomA und versucht per eigener Remotinst. den Client in DomB zu verteilen, sowohl auf Clientrechner als auch auf DCs.

 

Hast Du in der Backup-SW die Anmeldeinfos samt Domäne hinterlegt, also 'DomB\Admin' und entspr. Kennwort aus DomB?

Yupp!

[nobex 10]

Dann bin ich hier mit meinem Latein am Ende ... :suspect:

Ich könnte mir (vom Gefühl her :cool:) noch etwas in Richtung Namensauflösung und DNS vorstellen, allerdings fällt mir kein Szenario ein, warum diese bei einem Trust plötzlich nicht mehr funktionieren sollte :confused:

[cgoetze 10]

Ich finde das ganze auch sehr kurios, wäre es andersrum könnt ich das sogar noch verstehen. Aber so?.....

 

DNS hatte ich auch schon gedacht, aber ich kann da so keine fehler entdecken.

 

Trotzden vielen Dank! Du hast mir schonmal mächtig weitergeholfen... :-)

[winby 10]

Hallo,

 

hier die Lösung zu dem alten Beitrag

du musst die Domain Admins aus der DomA in die Gruppe Administratoren in DomB hinzufügen.