AlexST 11 Geschrieben 13. August 2015 Autor Melden Teilen Geschrieben 13. August 2015 Hallo Marcin, hier die Daten: Vertrauenstyp: Gesamtstrucktur Trasitiv: Ja Bidirektional Problem ist das ich z.b. per IP anpingen kann nur den FQDN löst er nicht auf. Ich hatte in den Einstellungen überprüft ob die VS passt. Ging gestern noch. Heute sagt er keine DC (Anmeldeserver) der Gegenseite verfügbar.VPN geht noch und in den Bedingten Weiterleitungen löst er auch auf. Gruppe sind Unsiversal (Verteiler) Alles sehr komisch :-) Alex Zitieren Link zu diesem Kommentar
Marcin_K 1 Geschrieben 13. August 2015 Melden Teilen Geschrieben 13. August 2015 Also mir fallen zwei mögliche Ursachen ein: Das Sperren des Verkehrs in der VPN-Verbindung. Um verschiedene, mit Active Directory verbundene Dienste funktionieren könnten, müssen ein paar Protokole erreichbar sind - Kerberos, LDAP, RPC, usw. Es ist mir schwer, hier alles aus dem Kopf anzugeben, aber es gibt natürlich in Internet viele Artikel darüber. Kannst du überprüfen, ob es keine Paketfilterung zwischen den beiden Domänen gibt? Oder... Ein, mit DNS verbunden Problem. Wenn du zwei Domäne hast, wäre es am besten, wenn jede Domäne in ihrem DNS die ganze Zone aus der anderen als Secondary hätte. Zusammen mit SRV einträge, usw. Du solltest die Zonenübertragung einstellen, in beiden Richtungen. Dann bist du sicher, dass der Domänecontroller in der Domäne A alles Dienste in der Domäne B erreichen kann (und umgekehrt). Wie sieht das bei dir aus? Grüße Marcin Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 14. August 2015 Melden Teilen Geschrieben 14. August 2015 Statt Secondaries einzurichten würde eine bedingte Weiterleitung (wie schon am Threadanfang empfohlen) ausreichen. Das auf beiden DNS-Servern mit jeweils der Zome der anderen Domäne wirkt Wunder. Aber mehr als Empfehlen kann man nicht... Zitieren Link zu diesem Kommentar
AlexST 11 Geschrieben 14. August 2015 Autor Melden Teilen Geschrieben 14. August 2015 Hallo, danke@ Macrin im Moment habe ich alles aus was geht an Firewall. Sowohl Softwareseitig von Windows als auch Hardwareseitig vom LanCom Router. @ Daniel --> Wie bereits in Beitrag 3 geschrieben habe ich das getan. Es sind auf beiden Seiten eine bedingte Weiterleitung eingerichtet. Ser wohl bin ich deiner Empfehlung nachgekommen. :-) Werde es aber nochmal überprüfen evtl. habe ich ja wirklich was übersehen. Greetings Alex Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 14. August 2015 Melden Teilen Geschrieben 14. August 2015 Na entweder geht die Namensauflösung oder sie geht nicht. Wenn sie nicht geht, dann hier zuerst ansetzen. Zitieren Link zu diesem Kommentar
AlexST 11 Geschrieben 16. August 2015 Autor Melden Teilen Geschrieben 16. August 2015 (bearbeitet) Hallo, also ich glaub irgendwie scheint der der DNS nicht richitg zu gehen. Aber hier nochmal das Ergebnis der Überprüfung nach dem Tipp vom Daniel. Problem ist immernoch das ich im Trust immer noch nicht beide sehe. Domain A: Unter Eigenschaften der Domain A die Vertrauensstellung für eingehende und ausgehende Verbindungen überprüft. Gehen beide. Er fordert mich jeweils auf mit dem Adminaccount von Domain B mit anzumelden Unter DNS der Domain A wird bei der bedingten Weiterleitung der gegen DNS aufgelöst NSLookup auf einern Server mit FQDN zur Domain B geht NSLookip auf einen Server mit IP zur Domain B geht nicht (gibt die Fehlermeldung non-existent domain) Ping auf Server mit IP und FQDN geht Domain B: Unter Eigenschaften der Domain B die Vertrauensstellung für eingehende und ausgehende Verbindungen überprüft. Gehen beide. Er fordert mich jeweils auf mit dem Adminaccount von Domain A mit anzumelden Unter DNS der Domain B wird bei der bedingten Weiterleitung der gegen DNS aufgelöst NSLookup auf einern Server mit FQDN zur Domain A geht NSLookip auf einen Server mit IP zur Domain A geht nicht (gibt die Fehlermeldung non-existent domain) Ping auf Server mit IP und FQDN geht Grüße Alex Nachtrag: Möchte ich z.b. in der DNS MMC den DNS Server der anderen Domain hinzufügen findet er ihn zwar aber sagt Zugriff verweigert. bearbeitet 16. August 2015 von AlexST Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 16. August 2015 Melden Teilen Geschrieben 16. August 2015 Möchte ich z.b. in der DNS MMC den DNS Server der anderen Domain hinzufügen findet er ihn zwar aber sagt Zugriff verweigert. DNS sieht doch soweit sauber aus. Wenn Du die IP-Adresse rückwärts auflösen willst, musst Du auch eine bedingte Weiterleitung auf die Reverse Lookup Zone der jeweiligen IP-Bereiche beidseitig konfigurieren. Bei der Vertrasuensstellung fehlt Dir wohl noch eins zum besseren Verständnis: Eine Vertrauensstellung verbindet zwei Domänen nicht auf die gleiche Weise, wie es in einem Forest der Fall ist. Du kannst nach dem Erstellen der Vertrauensstellung die Benutzer der anderen Domäne überprüfen - sie bekommen aber nicht automatisch Zugriff. Ein Domänenadmin aus Domäne A ist genausowenig Domänenadmin in Domäne B wie andersherum. Wenn Du also mit dem Domänenadmin der Domäne A den DNS der Domäne B verwalten möchtest, dann musst Du dem Domänenadmin der Domäne A in der Domäne B Rechte geben. Hast Du Dir generell einmal überlegt, wozu Du das Konstrukt gerade aufbaust? Was genau willst Du eigentlich erreichen? Nach dem, was Du bisher fragst, wäre es einfacher, wenn Du eine Domäne mit zwei Standorten betreiben würdest. Oder zumindestens einen gemeinsamen Forest. Was spricht dagegen? Zitieren Link zu diesem Kommentar
AlexST 11 Geschrieben 16. August 2015 Autor Melden Teilen Geschrieben 16. August 2015 Hallo Daniel, im Moment ist man gerade dran den 2ten Standort neu zu configen. Admins sind die gleichen Personen auf beiden Seiten. Das mit den 2 Standorten würde ich mit dem neuaufsetzen des Standorts 1 einfach mal umsetzen. Aber ein gemeinsamer Forest vorerst wäre eine Sinnvolle Idee. Spricht also nichts dagegen. Alex Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 16. August 2015 Melden Teilen Geschrieben 16. August 2015 Daniel meinte eine primär gemeinsame Domain. (nur zur "Klarstellung") Ein gemeinsamer Forest kann auch zwei oder mehr Domains beinhalten. ;) Also bleibt die Frage, warum willst du dir ggf. mehr Domains antun? Normalerweise ist das heutzutage kaum noch "gebräuchlich", es sei denn es gibt konkrete Anforderungen. Bye Norbert Zitieren Link zu diesem Kommentar
Marcin_K 1 Geschrieben 17. August 2015 Melden Teilen Geschrieben 17. August 2015 Eine domäne wäre bestimmt einfacher zum Verwalten und sogar wenn du z. B. verschiedene Admins hast, die mit verschiedenen Teilen deiner Umgebung verwalten sollten, ist das in diesem Fall auch kein Problem - du kannst die entsprechende Struktur der Organisationseinheiten aufbauen, die Berechtigungen den entsprechenden Personen dielegieren und alles wird perfekt funktionieren. Grüße Marcin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.