StefanWe 14 Geschrieben 21. November 2014 Melden Teilen Geschrieben 21. November 2014 Hallo, wir möchten eine Vertrauensstellung zwischen zwei Domänen herstellen. (Win 2003 DC's) Domäne A hat 2 Standorte mit jeweils zwei Domänencontroller A-DC1 und A-DC2 sind im Subnetz 192.168.0.0/24 A-DC3 und A-DC4 im Netz 192.168.1.0/24 Domäne B hat einen Standard mit zwei Domänencontroller. B-DC1 und B-DC2 im Netz 10.10.10.0/24 Wir haben einen VPN Tunnel zwischen 10.10.10.0/24 und 192.168.0.0/24 Hier ist alles an Ports offen und erlaubt. Nun die Frage, wie kann ich sicherstellen, dass B-DC1 und B-DC2 nur mit A-DC1 und A-DC2 sprechen? Nicht aber mit 3 und 4? Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 21. November 2014 Melden Teilen Geschrieben 21. November 2014 Moin, was ist die Anforderung dahinter? Und wer soll am Ende von wo nach wo auf Ressourcen zugreifen können? Sind alle Standorte per Routing untereinander erreichbar? Gruß, Nils Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 21. November 2014 Autor Melden Teilen Geschrieben 21. November 2014 Hallo Nils, Anforderung ist, dass Benutzer Aus Domäne A auf Ressourcen der Domäne B und umgekehrt zugreifen möchten. Aber beide Ressourcen stehen entweder im 192.168.0.0 oder 10.10.10.0 er Netz. Das 192.168.1.0 stellt keine Ressourcen für den Trust zur Verfügung. Routing gibt es theoretisch. Aber es ist nicht gewollt, dass die DC's aus Domäne B auf die DC's am Standard 192.168.1.0 (A-DC3 und A-DC4) zugreifen, denn dafür müsste die Firewall angepasst werden. Das ist aber nicht gewollt, wenn es nicht zwingend notwendig ist. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 21. November 2014 Melden Teilen Geschrieben 21. November 2014 (bearbeitet) Aber es ist nicht gewollt, dass die DC's aus Domäne B auf die DC's am Standard 192.168.1.0 (A-DC3 und A-DC4) zugreifen, Was für Zugriffe sollten das denn (nicht) sein, sind gemeint? Wenn es Vertrauenstellungen gibt zwischen Domänen, dann muss dafür ja zwischen den Domänen(controllern, den AD) dafür eine Kommunikation geben. bearbeitet 21. November 2014 von lefg Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 21. November 2014 Melden Teilen Geschrieben 21. November 2014 Moin, na, wenn die Kommunikation zu dem Standort, der nicht erreicht werden soll, gar nicht möglich ist, dann braucht ihr auch nichts weiter zu machen. In einer Vertrauensstellung ist es nicht erforderlich, dass auf jeden AD-Standort zugegriffen werden kann. Wichtig ist, dass die Domäne als solche erreicht wird, sprich mindestens ein DC. Gruß, Nils Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 21. November 2014 Autor Melden Teilen Geschrieben 21. November 2014 Hallo Nils, Danke für die Antwort. Die dcs und damit die Domäne am Standort 192.168.0.0 sind erreichbar. Nur woher wissen die dcs der Domäne, mit welchen dcs sie sprechen müssen? Wir haben gegenseitig stub zones auf den dcs eingerichtet. Bedingte Weiterleitung ist ja erst ab 2008 möglich. Theoretisch würde ja der dc per rund Robin einen dc zugeteilt bekommen und dann auch evtl einen des nicht erreichbaren Standortes. Ich frage desshalb so genau, weil der Trust von der Domäne mit den zwei Standorten zu dem mit einem super funktioniert, nur andersrum nicht. Obwohl dns und Co top funktioniert. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 21. November 2014 Melden Teilen Geschrieben 21. November 2014 Conditional forwarding geht seit 2003 http://support.microsoft.com/kb/304491/EN-US Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 21. November 2014 Melden Teilen Geschrieben 21. November 2014 Moin, unter anderem deshalb fragte ich ja, wer auf was zugreifen soll. Wenn es nur ganz bestimmte Ressourcen sein sollen (also z.B. nur wenige Servernamen betroffen sind), könntet ihr z.B. nur einen Teil der DNS-Daten übertragen, beispielsweise manuell in eine Standardzone. Dann kommt die B-Domäne gar nicht auf die Idee, dass es in der A-Domäne mehr als zwei DCs geben könnte. Wenn es um "irgendwelche" Ressourcen an beiden Standorten gehen soll und sich an den Namen oder IP-Adressen oft was ändert, ist das aber u.U. nicht praktikabel. Gruß, Nils Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 22. November 2014 Autor Melden Teilen Geschrieben 22. November 2014 Ok, bedeutet, dass der Partner wirklich mit allen DCs am besten sprechen muss. Das stell ich mir nun allerdings in großen Umgebungen mit zig Standorten schwierig vor. @nils:wie und wo könnte ich denn definieren, welche Dns Daten übergeben werden? Und vor allem, welche Infos brauche ich alle für einen Trust? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 22. November 2014 Melden Teilen Geschrieben 22. November 2014 (bearbeitet) Morn Stefan Wurde denn schon mal versucht, die Vertrauensstelleung einzurichten? Ich habe den Eindruck, Du laborierst unnötig. Was ist denn das eigentliches Problem? Funktiniert etwas nicht? W ozu soll die Kommunikation zwischen bestimmten DC unterbunden werden? Welche Kommunikation, welcher Zugriff auf welche Ressourcen überhaupt? Die Vertaruensstellung ermöglicht erstmal das Anmelden eines Users der Domäne A mit einem Rechner der Domäne A an der Domäne B, der User wählte dazu vor dem Anmelden im Anmelde-Dialogfenster die Domäne B aus anstelle der Domäne A. Die erfolgreiche Anmeldung des Users von A an B erlaubt nicht automatisch Zugriff auf Ressourceb der Domäne B, darauf muss der User Rechte erhalten, z.B. auf Freigaben oder Drucker. Wurde denn schon mal im Technet üeber Vertauenstellunegn gelesen? http://technet.microsoft.com/de-de/library/cc731335.aspx bearbeitet 22. November 2014 von lefg Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 22. November 2014 Autor Melden Teilen Geschrieben 22. November 2014 Hi, Ja der Trust wurde als gesamtstruktur bidirektional eingerichtet. Beide Domänen sind in ihrer Gesamtstruktur jeweils alleine. Der Trust funktioniert von Domäne A nach B einweidfrei. Wenn ich aber in lokalen Gruppen von Domäne B User aus Domäne A auswähle, dauert die Suche ewig lange und liefert dann kein Ergebnis. Alle DCs sind per nslookup auflösbar. Kein Natting. Daher liegt derzeit die Vermutung, dass der Dc aus Domäne B versucht mit einem A-Dc3 oder 4 zu kommunizieren, was Netzwerktechnisch nicht erlaubt ist. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 22. November 2014 Melden Teilen Geschrieben 22. November 2014 (bearbeitet) Daher liegt derzeit die Vermutung, dass der Dc aus Domäne B versucht mit einem A-Dc3 oder 4 zu kommunizieren, was Netzwerktechnisch nicht erlaubt ist. Wurde da etwas unterbunden, geblockt? Könnte ein Experiment erlaubt sein? Wurum wurde das nicht erlaubt, warum wurde das verboten? Von wem? Handelt es sich um einen Irrtum oder um ein Missverständnis? bearbeitet 22. November 2014 von lefg Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 22. November 2014 Autor Melden Teilen Geschrieben 22. November 2014 Hallo, Ja die Firewall blockt, und das soll auch so bleiben, den Traffic von Standort b zu dem Standort von adc3 und 4. Das soll auch nicht angepasst werden. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 22. November 2014 Melden Teilen Geschrieben 22. November 2014 (bearbeitet) Na denn.... Du teilst aber nicht mit, warum, wofür das so ist, sein soll, wer das so angeordnet. Gehst nicht auf meine Frage ein, ob das nicht ein Irrtum sein könnte? Ein Verbot ist keine Begründung, ein Verbot benötigt eine gute Begründung, ein verbot muss sinnvoll sein. Aus meiner jetzigen Sicht ist das Blödsinn. Nu, warten wir mal ab, ob Daniel M. oder Martin reinschauen und etwas dazu schreiben. bearbeitet 22. November 2014 von lefg Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 22. November 2014 Autor Melden Teilen Geschrieben 22. November 2014 Hi Derzeit ist die Begründung so, dass es nicht gewünscht ist. Sollte es technisch nicht anders machbar sein, so muss darüber mit den Netzwerkleuten gesprochen werden. Ich wollte ja auch nur mit diesem Thread herausfinden, ob man beim Trust die DCs angeben kann. Habe diesen Artikeln gefunden: http://blogs.technet.com/b/askds/archive/2008/09/24/domain-locator-across-a-forest-trust.aspx Würde es wohl auch funktionieren, wenn ich das subnet von Location 1 in die Sites and Services von b aufnehme und zwar in den Standort, wo die dcs 1 und 2 stehen? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.