Zugriff auf eine Netzwerkressource (domänenübergreifend)

[RalphT 15]

Ich hatte im Container ForeignSecurityPrincipals nachgesehen. dort liegen z. Z. 4 Einträge vom Typ "fremder Sicherheitsprinzipal" vorhanden. Da ich dort so gut wie nie nachsehe, waren mir diese Einträge etwas suspekt. Unter Asiedit konnte ich erkennen, dass diese Einträge schon älter sind. Einmem aktuellen Eintrag konnte ich daher nicht erkennen.

 

Ich habe die DNS wie Folgt konfiguriert: In Domäne A habe ich eine sekundäre Zone von Domäne B eingerichtet und umgekehrt. Das Gleiche gilt für die Reverse Zonen.

Ich habe in Domäne A den Client1 und in Domäne B den Server1. Domäne A nennt sich Hamburg.meinefirma.de und Domäne B heißt meinladen.de

 

Mit nslookup habe ich folgende Tests durchgeführt:

 

In Domäne A:

client1 - Hier kam als Ergebnis Client1.hamburg.meinefirma.de zurück. Ich denke soweit ok.

server1 - Hier konnte nslookup diesen Namen nicht auflösen. Ich weiß nicht, ob das richtig ist, denn gebe ich

server1.meinladen.de - Dann kann nslookup auflösen.

 

In Domäne B ist das Verhalten genauso. Für mich stellt sich jetzt die Frage, ob man den FQDN komplett für die andere Domäne eingeben muss oder habe ich hier einen DNS-Fehler?

 

Nochmal zum Zugriff auf den Ordner:

Lege ich die Gruppe neu an und füge der Gruppe einen alten User hinzu, dann beim Client erst einmal kein Zugriff möglich. Nach ca. 10 oder 15 Minuten ist der Zugriff möglich.

Dieser Zugriff scheint dauerhaft zu funktionieren.

In den Sicherheitseinstelllungen des freigegeben Ordners hatte ich schon weiter oben geschrieben, dass statt des Gruppennamens nur dessen SID erscheint. Heute habe ich festgestellt, dass mal der Gruppenname wieder da steht und irgend wann nur dessen SID.

 

Ich habe mich jetzt nicht für eine bedingte Weiterleitung entschieden, da Bandbreite hier kein Problem darstellt. Oder ist meine DNS Konfiguration falsch?

 

@lefg Ich sehe gerade Antwort. Nein das hatte ich noch nicht gemacht. Kann ich morgen aber schnell machen.

[Stephan Betken 43]

Ich hatte im Container ForeignSecurityPrincipals nachgesehen. dort liegen z. Z. 4 Einträge vom Typ "fremder Sicherheitsprinzipal" vorhanden. Da ich dort so gut wie nie nachsehe, waren mir diese Einträge etwas suspekt. Unter Asiedit konnte ich erkennen, dass diese Einträge schon älter sind. Einmem aktuellen Eintrag konnte ich daher nicht erkennen.

Standardmäßig sind da immer ein paar well-known-SIDs enthalten. Das ist also normal.

Für den berechtigten User bzw. die berechtigte Gruppe wird normalerweise automatisch ein Eintrag angelegt, wenn die Berechtigung an einer Ressource erteilt wird. Afaik wird dieser auch nicht automatisch gelöscht und bleibt also auch vorhanden, wenn es im Nachhinein Probleme mit der DNS-Auflösung gibt.

 

Berechtige mal eine andere Gruppe der vertrauten Domäne und schau nach, ob dort ein Eintrag erstellt wird.

Für mich stellt sich jetzt die Frage, ob man den FQDN komplett für die andere Domäne eingeben muss oder habe ich hier einen DNS-Fehler?

Ist soweit korrekt, aber ich würde trotzdem Stubzones bevorzugen.

[RalphT 15]

DCDIAG und NETDIAG habe ich auf beiden DCs laufen lassen. Keine Fehlermeldungen.

Nachdem ich gestern noch einen kleinen Fehler in der DNS behoben hatte, lassen sich jetzt auch auf beiden DCs die Vertrauensstellungen überprüfen. Da gab es ja vorher immer Probleme. Jetzt wird immer bestätigt, dass die Vertrauensstellung aktiv ist. Das ist ja schon mal ein Fortschritt.

 

Berechtige mal eine andere Gruppe der vertrauten Domäne und schau nach, ob dort ein Eintrag erstellt wird.

Das habe ich gerade gemacht. Ich nehme an, dass ich im Ordner ForeignSecurityPrincipals nachsehen soll, ob dort ein Eintrag erstellt wird. Das habe ich gemacht und es gab hier auf beiden Seiten keine Änderung.

Allerdings gibt es hier eine positive Änderung: Vorher war es so, dass der Zugriff anfangs für ca. 15 Min nicht möglich war. Hier ist beim Client der Zugriff sofort möglich.

Allerdings ist unter den Sicherheitseinstellungen immer noch das Phänomen, dass statt des Gruppennamens dessen SID angezeigt wird.

Wenn dieser Fehler jetzt nochweg wäre, dann wäre das Problem gelöst.

Es sieht hier nur noch nach ein Schönheitsproblem aus, aber ich habe dabei kein gutes Gefühl.

 

Nachtrag: Der Wechsel der Anzeige nur SIDs zu Gruppennamen scheint sich alle 90 Minuten zu ändern.

bearbeitet 26. März 2010 von RalphT

[Stephan Betken 43]

Richte den Zugriff noch mal neu ein (dieses mal aber nach AGDLP) und schau, ob die Einträge für die fremden Accounts in ForeignSecurityPrincipals angelegt werden. Dies geschieht direkt bei hinzufügen des fremden Accounts bzw. der fremden Gruppe zu einer lokalen Gruppe.

[RalphT 15]

So, jetzt habe ich den Zugriff nach dem A-G-DL-P Prinzip eingerichtet. Am Client war zunächst kein Zugriff möglich, nach dem Neustart funktionierte es.

Im Containe ForeignSecurityPrincipals ist ein neuer Eintrag hinzugekommen. Dieser Eintrag wird als SID angezeigt. es gibt dort auch die Spalte Anzeigename. In dieser Spalte nichts angezeigt. Ich habe es vorhin auch schon beobachtet, dass dort ein Ort zu hinterlegt war. Weiterhin ist mir folgender Effekt aufgefallen: Sehe ich mir in der Domänenlokale Gruppe die Mitglieder an (hier ist es nur eine Globale Gruppe aus der fremden Domäne), dann wird mir zw. nur die SID angezeigt. Etwas später steht der Gruppenname aus der fremden Domäne da.

Also auch wieder dieser komische Effekt, dass es ca. alle 90 Minuten richtig angezeigt wird und danach immer nur als SID.

Es scheint so, dass das Problem entweder DNS oder anderer Natur ist.

Ich weiß nicht,ob das für das Problem relevant ist, dass ich über ein VPN auch noch andere DCs habe.

In einer Domäne habe ich in der Hauptgeschäftsstelle zwei DCs und in der Zweigstelle auch zwei DCs. Sowohl in der Hauptgeschäftsstelle als auch in der Zweigstelle habe jeweils einen DC zum Globalen Katalogserver gemacht.

In der anderen Domäne gibt es nur zwei DCs.

[Stephan Betken 43]

Sowohl in der Hauptgeschäftsstelle als auch in der Zweigstelle habe jeweils einen DC zum Globalen Katalogserver gemacht.

Die Anbindung anderer DCs über VPN ist nicht wirklich relevant. Da nicht alle DCs auch GC sind (warum eigentlich nicht): der Infrastrukturmaster ist aber nicht GC?

Sind das getrennte Forests oder sind beide Domänen in einen Forest?

[RalphT 15]

der Infrastrukturmaster ist aber nicht GC?

Doch ja. Zuminest einer von den beiden. Das sind getrennte Forests.

[Stephan Betken 43]

In der entsprechenden Domäne müssen dann aber alle DCs auch GC sein. Siehe faq-o-matic.net Globaler Katalog vs. Infrastruktur-Master

[RalphT 15]

Ich werde das mal dementsprechend abändern und dann nochmal berichten.

[RalphT 15]

Ich hatte gestern auf allen DCs den Globalen Katalog Server aktiviert. Gleich anschließend gestestet - aber ohne Erfolg. Na gut dachte ich, man muss Geduld mitbringen und habe es heute vormittag beobachtet. Es funktioniert jetzt einwandfrei. Die Fehlerursache lag tatsächlich darin, dass Infrastrukturmaster und Globaler Katalogserver nicht richtig verteilt waren.

Danke für die Hilfe.

[Necron 71]

Die Fehlerursache lag tatsächlich darin, dass Infrastrukturmaster und Globaler Katalogserver nicht richtig verteilt waren.

Danke für die Hilfe.

Danke für dein Feedback!:)