Vertrauensstellung zwischen 2 Domänen

[BaSe 10]

Hallo,

 

wir haben mit einer anderen Firma eine Vertrauensstellung eingerichtet. Diese Firma hat 5 Domänen Controller, zwei von denen stehen an einem anderen Standort die wir netzwerktechn. nicht erreichen können.

 

Jetzt kommt es immer wieder vor das wir auf deren AD zugreifen wollen, aber die Verbindung einfach nicht klappt(Fehler : Der Server ist nicht funktionstüchtig).

 

Kann es sein das es daran liegt das in diesem Fall versucht wird auf DC´s zu zugreifen die natürlich netwerktech. nicht erreichbar sind. Und wie kann man verhindern das unsere DC´s und Clients nicht auf die deren DC´s zugreifen die in anderen Netzen stehen und sowieso nicht erreichbar sind.

[zahni 562]

Ja, das kann sein. Gehören alle Server zum selben Standort in der Domäne ? Wenn ja, müsst Ihr die Domänen in Standorte aufteilen. Besonders die beiden nicht erreichbaren DC benötigen einen eigenen Standort.

 

-Zahni

[BaSe 10]

Also die Domäne gehört sozusagen einer Partnerfirma mit der wir zukünftig zusammenarbeiten, die haben auch einige "Admins".

 

Unsere DC´s stehen am gleichen Standort, deren 4 DC´s sind über 2 Standorte verteilt.

 

Und noch etwas.

 

Wenn ich ein nslookup auf deren DNS Server auf deren Domänenname mache bekomme ich als DNS Query 8 IP Adressen angezeigt. Das bedeutet doch auch das die 8 DC´s haben oder? Zusätzlich hab ich mal Anfragen von unseren DC´s gesnifft, dort wird mir angezeigt das unser DC versucht 8 von deren DC´s zu erreichen.

 

 

TCP 192.168.0.71:3244 181.18.19.158:389 SYN_GESENDET

TCP 192.168.0.71:3245 181.18.19.133:389 SYN_GESENDET <<

TCP 192.168.0.71:3246 181.10.0.20:389 SYN_GESENDET

TCP 192.168.0.71:3247 181.18.15.25:389 SYN_GESENDET <<

TCP 192.168.0.71:3248 181.18.12.35:389 SYN_GESENDET <<

TCP 192.168.0.71:3249 181.18.19.111:389 SYN_GESENDET

TCP 192.168.0.71:3250 181.10.1.20:389 SYN_GESENDET

TCP 1192.168.0.71:3251 182.18.12.36:389 SYN_GESENDET <<

 

Trotzdem bekomme ich ne Fehlermeldung das "Der Server ist nicht funktionstüchtig".

 

Der Admin behauptet aber die hätten nur 4 DC´s. Kann es sein das die irgendwie ein Problem haben?

[zahni 562]

Wie hast Du den DNS-Server von Deinem Partner eingebunden ?

Am Besten machst Du eine Weiterleitung an Deinen DNS-Server(n).

Sind in den Routern / Firewalls alle notwendigen Ports freigschaltet ?

 

siehe auch

 

LDAP://Yusufs.Directory.Blog/ - Vertrauensstellung zwischen zwei Gesamtstrukturen

 

 

Was die Konfiguration der Standortwe bei vertrauten Domänen angeht, bin ich gerade nicht auf dem Laufenden. Vielleicht könnte da einer meiner Kollegen aushelfen ?

 

;)

 

-Zahni

[BaSe 10]

Deren DNS Server habe ich über ein Forwarding eingerichtet, funktioniert ja soweit auch(FW Ports sind auch alle korrekt eingestellt, FW blockt nix). Von unserem DC aus der auch der GC ist kann ich deren AD Inhalt (z.b User) sehen, aber wenn ich von unseren anderen beiden DC`s (oder z.b Clients) mir einen User aus deren AD holen will bringt er immer den Fehler das der Server ist nicht funktionstüchtig ist.

 

Was ich seltsam finde ist das mir 8 DC`s statt 4 angezeigt werden(siehe oben), da ist doch was bei denen faul oder?

[solinske 10]

Hast du eine gegenseitige Vertrauenssetellung eingerichtet?

Ist die FW der Gegenseite auch korrekt eingestellt?

[BaSe 10]

Vertrauensstellung ist als "externe" eingerichtet, die FW auf der Gegenseite ist korrekt eingestellt, das habe ich als erstes kontrolliert.

[zahni 562]

Ist denn z.B. auch Port 389 (ldap) freigegeben ?

 

Dein Log sagt ja eher nein...

 

-Zahni

[BaSe 10]

Hat sich inzwischen erledigt. Die Ursache waren veraltete ldap Einträge in deren AD, zusätzlich noch ein nat problem an deren FW :)