fussi24 10 Geschrieben 22. September 2008 Melden Teilen Geschrieben 22. September 2008 Hallo, ich habe in meiner Testumgebung eine unidirektionale Vertrauensstellung zwischen einer W2k(Quelldomäne) und einer W2k8 (Zieldomäne). Da auf dem W2k das SP4 drauf ist, wurde bei der Erstellung des Trusts automatisch der SID Filter eingeschaltet. Dies sehe ich auch im Ergebnis, welches wie folgt aussieht: 0: Zieldomäne zieldomäne.local (NT 5) (Direct Outbound) ( Attr: filtered ) Nun würde ich gerne den Filter ausschalten, da ich mit der SID History arbeite. Der Befehl im TechNet von MS lautet wie folgt: Netdom Trust quelldomäne.local /domain:zieldomäne.local /quarantine:No /userD:administrator /passwordD:password Nur leider gibt es scheinbar bei der Netdom Version von W2k nicht den Parameter /quarantine Dies wird nämlich immer mit einem Fehler quittiert. Wenn ich mir die Eigenschaften des Netdom Befehls ansehe, finde ich nur den Parameter /FilterSIDs. Wenn ich dann versuche den folgenden Befehl auszuführen:Netdom trust zieldomäne.local /domain:quelldomäne.local /FilterSIDs:no /userD:administrator /passwordD:password bekomme ich die Fehlermeldung: Access is denied. Die Abfrage mache ich auf dem DC in der Quelldomäne. Kann es sein, dass ich hier einen Gedankenfehler habe? Gruß Thorsten Zitieren Link zu diesem Kommentar
fussi24 10 Geschrieben 28. September 2008 Autor Melden Teilen Geschrieben 28. September 2008 So nach sehr vielen Test und Kontrolle durch Kollege kann ich nun folgendes zum Thema sagen: 1.) Auch wenn die Firewall auf dem W2k8 DC aus ist, gibt es scheinbar Einschränkungen in der Komunikaton vom W2k zum W2k8 2.) Es war mir nicht möglich eine saubere Verbindung zwischen dem W2k und dem W2k8 aufzubauen. Vielleicht schafft es ja jemand anders! ;-) 3.) Erst als ich einen W2k3 Server als zusätzlichen DC in die W2k8 Domäne aufgenommen hatte, bekam ich eine Chance den Trust aufzubauen. 4.) Hierzu mußte ich den W2k8 herunterfahren und dann nochmals den Netdom Befehl auf dem W2k ausführen. Die Abfrage dauert sehr lange, der W2k suchte wahrscheinlich den W2k8. Der Befehl wurde erfolreich ausgeführt. 5.) Den SID Filter konnte ich genauso nur einschalten wenn der W2k8 aus war. 6.) Die Konstellation wurde von meinen Kollgen gegengeprüft und wir haben bis jetzt keine Erklärung hierzu gefunden. Aber wir haben ja sehr kompetene Members (sogar ADDS MVPs ;-) ) hier, die bestimmt eine Idee haben, oder? Gruß Thorsten Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.