PadawanDeluXe 75 Geschrieben 8. April 2019 Melden Teilen Geschrieben 8. April 2019 Hallo zusammen, ich habe ein Problem beim Einrichten einer AD Vertrauensstellung zweier eigenständiger Forests. Das Szenario sieht wie folgt aus: Domäne1: FQDN: dc01.demo.lab NetBIOS Name: demo Domänenfunktionsebene: Win 2012 R2 Gesamtstrukturfunktionsebene: Win 2012 R2 Domänencontroller Windows 2012 R2 Server === Domäne2: FQDN: dc01-16.demo2.lab Netbios Name: demo2 Domänenfunktionsebene: Win 2012 R2 Gesamtstrukturfunktionsebene win 2012 R2 Domänencontroller Windows Server 2016 Der Trust soll aus demo2.lab zu demo.lab gelten. Das bedeutet ich kann aus demo2.lab mich gegen demo.lab authentifizieren aber _nicht_ anders herum. Die Einrichtung dieses unidirektionalen Trusts hat soweit funktioniert und ich kann auch auf beiden Domaincontrollern den Trust mit der jeweils anderen Domain validieren. Im nächsten Schritt habe ich eine Gruppe in demo2.lab erstellt (Name=Demo-Administratoren, Typ=Sicherheitsgruppe - Universal). Diese habe ich auf meinem AD-Objekt des Domänencontrollers in der Domain demo.lab als "Darf authentifizieren" konfiguriert. Gehe ich jetzt her und versuche mit einem User der in dieser Gruppe ist eine Anmeldung auf dem Domaincontroller der demo.lab erhalte ich die Fehlermeldung: "Die verwendete Anmeldemethode ist auf diesem PC nicht zulässig. Weitere Informationen erhalten Sie vom Netzwerkadministrator" Hier stehe ich allerdings ein wenig auf dem Schlauch was ich denn nun falsch gemacht habe. In beiden Eventlogs wird keine Fehlermeldung protokolliert. Kann mir bitte jemand einen Schubs geben woran es liegt? Vielen Dank! Zitieren Link zu diesem Kommentar
Beste Lösung NilsK 2.934 Geschrieben 8. April 2019 Beste Lösung Melden Teilen Geschrieben 8. April 2019 Moin, Auf einem DC dürfen sich nur Administratoren anmelden. Du musst der Gruppe also noch die interaktive Anmerkung auf den DCs gestatten. Gruß, Nils 2 Zitieren Link zu diesem Kommentar
PadawanDeluXe 75 Geschrieben 9. April 2019 Autor Melden Teilen Geschrieben 9. April 2019 Argh! Ärgerlich, aber extrem logisch, denn: wenn der DC die Authentifizierung durchführen darf gilt das generell aber er weiß ja nicht Welche Berechtigungen die Gruppe tatsächlich auf dem Gerät hat. ok. Ich hätte meiner alten Anleitung vertrauen sollen. Danke dir. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.