Jump to content

Vertrauensstellung mit mehreren Standorten

StefanWe

Von StefanWe
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

StefanWe Veteran

StefanWe   14

Geschrieben
Geschrieben

Hallo,

 

wir möchten eine Vertrauensstellung zwischen zwei Domänen herstellen. (Win 2003 DC's)

 

Domäne A hat 2 Standorte mit jeweils zwei Domänencontroller

A-DC1 und A-DC2 sind im Subnetz 192.168.0.0/24

A-DC3 und A-DC4 im Netz 192.168.1.0/24

 

Domäne B hat einen Standard mit zwei Domänencontroller.

B-DC1 und B-DC2 im Netz 10.10.10.0/24

 

Wir haben einen VPN Tunnel zwischen 10.10.10.0/24 und 192.168.0.0/24

 

Hier ist alles an Ports offen und erlaubt.

 

Nun die Frage, wie kann ich sicherstellen, dass B-DC1 und B-DC2 nur mit A-DC1 und A-DC2 sprechen? Nicht aber mit 3 und 4?

 

Link zu diesem Kommentar
StefanWe Veteran

StefanWe   14

Geschrieben
  • Autor
Geschrieben

Hallo Nils,

 

Anforderung ist, dass Benutzer Aus Domäne A auf Ressourcen der Domäne B und umgekehrt zugreifen möchten. Aber beide Ressourcen stehen entweder im 192.168.0.0 oder 10.10.10.0 er Netz. Das 192.168.1.0 stellt keine Ressourcen für den Trust zur Verfügung.

 

Routing gibt es theoretisch. Aber es ist nicht gewollt, dass die DC's aus Domäne B auf die DC's am Standard 192.168.1.0 (A-DC3 und A-DC4) zugreifen, denn dafür müsste die Firewall angepasst werden. Das ist aber nicht gewollt, wenn es nicht zwingend notwendig ist.

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben (bearbeitet)

 

Aber es ist nicht gewollt, dass die DC's aus Domäne B auf die DC's am Standard 192.168.1.0 (A-DC3 und A-DC4) zugreifen,

 

Was für Zugriffe sollten das denn (nicht) sein, sind gemeint?

 

Wenn es Vertrauenstellungen gibt zwischen Domänen, dann muss dafür ja zwischen den Domänen(controllern, den AD) dafür eine Kommunikation geben.

bearbeitet von lefg
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

na, wenn die Kommunikation zu dem Standort, der nicht erreicht werden soll, gar nicht möglich ist, dann braucht ihr auch nichts weiter zu machen. In einer Vertrauensstellung ist es nicht erforderlich, dass auf jeden AD-Standort zugegriffen werden kann. Wichtig ist, dass die Domäne als solche erreicht wird, sprich mindestens ein DC.

 

Gruß, Nils

Link zu diesem Kommentar
StefanWe Veteran

StefanWe   14

Geschrieben
  • Autor
Geschrieben

Hallo Nils,

 

Danke für die Antwort. Die dcs und damit die Domäne am Standort 192.168.0.0 sind erreichbar.

 

Nur woher wissen die dcs der Domäne, mit welchen dcs sie sprechen müssen?

 

Wir haben gegenseitig stub zones auf den dcs eingerichtet. Bedingte Weiterleitung ist ja erst ab 2008 möglich.

 

Theoretisch würde ja der dc per rund Robin einen dc zugeteilt bekommen und dann auch evtl einen des nicht erreichbaren Standortes.

 

Ich frage desshalb so genau, weil der Trust von der Domäne mit den zwei Standorten zu dem mit einem super funktioniert, nur andersrum nicht.

 

Obwohl dns und Co top funktioniert.

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

unter anderem deshalb fragte ich ja, wer auf was zugreifen soll. Wenn es nur ganz bestimmte Ressourcen sein sollen (also z.B. nur wenige Servernamen betroffen sind), könntet ihr z.B. nur einen Teil der DNS-Daten übertragen, beispielsweise manuell in eine Standardzone. Dann kommt die B-Domäne gar nicht auf die Idee, dass es in der A-Domäne mehr als zwei DCs geben könnte.

 

Wenn es um "irgendwelche" Ressourcen an beiden Standorten gehen soll und sich an den Namen oder IP-Adressen oft was ändert, ist das aber u.U. nicht praktikabel.

 

Gruß, Nils

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben (bearbeitet)

Morn Stefan

 

Wurde denn schon mal versucht, die Vertrauensstelleung einzurichten?

 

Ich habe den Eindruck, Du laborierst unnötig.

 

Was ist denn das eigentliches Problem? Funktiniert etwas nicht?

 

W ozu soll die Kommunikation zwischen bestimmten DC unterbunden werden? Welche Kommunikation, welcher Zugriff auf welche Ressourcen überhaupt?

 

Die Vertaruensstellung ermöglicht erstmal das Anmelden eines Users der Domäne A mit einem Rechner der Domäne A an der Domäne B, der User wählte dazu vor dem Anmelden im Anmelde-Dialogfenster die Domäne B aus anstelle der Domäne A.

 

Die erfolgreiche Anmeldung des Users von A an B erlaubt nicht automatisch Zugriff auf Ressourceb der Domäne B, darauf muss der User Rechte erhalten, z.B. auf Freigaben oder Drucker.

 

Wurde denn schon mal im Technet üeber Vertauenstellunegn gelesen? http://technet.microsoft.com/de-de/library/cc731335.aspx

bearbeitet von lefg
Link zu diesem Kommentar
StefanWe Veteran

StefanWe   14

Geschrieben
  • Autor
Geschrieben

Hi,

 

Ja der Trust wurde als gesamtstruktur bidirektional eingerichtet. Beide Domänen sind in ihrer Gesamtstruktur jeweils alleine.

 

Der Trust funktioniert von Domäne A nach B einweidfrei.

 

Wenn ich aber in lokalen Gruppen von Domäne B User aus Domäne A auswähle, dauert die Suche ewig lange und liefert dann kein Ergebnis.

 

Alle DCs sind per nslookup auflösbar. Kein Natting.

 

Daher liegt derzeit die Vermutung, dass der Dc aus Domäne B versucht mit einem A-Dc3 oder 4 zu kommunizieren, was Netzwerktechnisch nicht erlaubt ist.

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben (bearbeitet)

 

Daher liegt derzeit die Vermutung, dass der Dc aus Domäne B versucht mit einem A-Dc3 oder 4 zu kommunizieren, was Netzwerktechnisch nicht erlaubt ist.

 

Wurde da etwas unterbunden, geblockt? Könnte ein Experiment erlaubt sein?

 

Wurum wurde das nicht erlaubt, warum wurde das verboten? Von wem? Handelt es sich um einen Irrtum oder um ein Missverständnis?

bearbeitet von lefg
Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben (bearbeitet)

Na denn....

 

Du teilst aber nicht mit, warum, wofür das so ist, sein soll, wer das so angeordnet. Gehst nicht auf meine Frage ein, ob das nicht ein Irrtum sein könnte? Ein Verbot ist keine Begründung, ein Verbot benötigt eine gute Begründung, ein verbot muss sinnvoll sein.

 

Aus meiner jetzigen Sicht ist das Blödsinn.

 

Nu, warten wir mal ab, ob Daniel M. oder Martin reinschauen und etwas dazu schreiben.

bearbeitet von lefg
Link zu diesem Kommentar
StefanWe Veteran

StefanWe   14

Geschrieben
  • Autor
Geschrieben

Hi

 

Derzeit ist die Begründung so, dass es nicht gewünscht ist.

Sollte es technisch nicht anders machbar sein, so muss darüber mit den Netzwerkleuten gesprochen werden.

 

Ich wollte ja auch nur mit diesem Thread herausfinden, ob man beim Trust die DCs angeben kann.

Habe diesen Artikeln gefunden:

 

http://blogs.technet.com/b/askds/archive/2008/09/24/domain-locator-across-a-forest-trust.aspx

 

Würde es wohl auch funktionieren, wenn ich das subnet von Location 1 in die Sites and Services von b aufnehme und zwar in den Standort, wo die dcs 1 und 2 stehen?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...