SergejErfurt 0 Geschrieben 6. September 2019 Melden Teilen Geschrieben 6. September 2019 Guten Tag Leute, habe ein kleines Problem und finde keine Lösung. Folgende Situation: Aufbau 2 Domains (DOM-A und DOM-B) DOM-A hat eine ausgehende Vertrauensstellung zu DOM-B (OneWay Trust) Functional Level DOM-A ist 2012R2 Functional Level DOM-B ist 2016 Ziel DOM-A und B wollen Doppelte Datenpflege verwalten. Das passiert, indem DOM-B Benutzer erstellt und DOM-A Berechtigt diese auf seine Freigaben und ggf. andere Ressourcen. Damit das funktioniert muss DOM-A die User aus DOM-B einlesen können Problem DOM-A sollte die User aus DOM-B, in Active Directory Benutzer und Gruppen auslesen können und auf seine Ressourcen entsprechend berechtigen können (ging auch ganz kurz, dazu später). Das funktioniert leider nicht. Wenn man den Trust Bidirektional einrichtet, funktioniert alles, wenn man dann eine unidirektionalen Trust daraus macht, so bricht die Funktion ein. Auf der Trust Seite (DOM-A), wo DOM-B zur Auswahl angeboten wird, um z.B: Benutzer in ActiveDirectory Benutzer und Gruppen MMC einzulesen, taucht kein einziger User auf, auch keine Gruppe und sonst nichts. Voraussetzungen Geht davon aus, dass Domaincontroller auf beiden Seiten korrekt funktionieren und im Ereignislog gar keine und vor allem keine relevanten Fehler zum im folgenden genannten Problem vorliegen. Alle möglichen Diagnosen mit CMD erfolgreich. Debugging Meldungen alle gelesen, es ist nichts was auf das Problem Hindeutet DNS funktioniert einwandfrei Hinweise Ich habe festgestellt, dass wenn wir per CIFS von DOM-B, von DOM-A aus begehen daher in Explorer: \\DOM-A eingeben, fragt Windows nach Authentifizierung. Wenn man an der Stelle auf jedem DC Benutzername Passwort vom Admin aus DOM-B eingibt, sich also authentifiziert, so kann man auch im MMC ActiveDirectory Benutzer und Gruppen alle User und Gruppen schlagartig wieder einlesen. Umgekehrt, wenn man also von DOM-A aus, \\DOM-B eingibt, bekommt man die SYSVOL und NETLOGON Freigabe ohne Frage nach Authentifizierung. Vermutungen Ich denke es ist nicht im Sinne des Erfinders das ganze so zu verbiegen, dass DOM-A DCs jeweils Zugriff auf DOM-B SYSVOL immer per Admin Account aus DOM-B gemappt werden. Entweder sind dort, im OneWay Trust Nacharbeiten vorgesehen, dass DOM-A in DOM-B als Authentifizierte Benutzer angesehen wird oder etwas in die Richtung (die ich wohl nicht kenne). ODER die Functional Levels sind untereinander nicht kompatibel? ODER Gibt es andere Ideen dazu? By the Way, wenn ich meinen Functional Level aus DOM-B (2016) herunterstufe auf 2012R2, bekomme ich Probleme ? Domäne ist relativ neu, besteht aus 2DCs und benutzt keine Features aus 2016 FL, hat erfolgreich funktionierende andere bidirektionale Trusts zu anderen Domänen. DOM-A ist relativ alt, hat FL 2012R2, kann nicht heraufgestuft werden aus anderen Gründen, besteht aus 3DCs, hat erfolgreich funktionierende andere bidirektionale Trusts zu anderen Domänen ANALYSE UND FEHLER Alle nachfolgenden Befehle aus DOM-B heraus (DOM-B ist die benachteiligte DOMAIN, hat die eingehende Vertruanesstellung, daher kann keine User / Gruppen... auslesen aus DOM-A) DOM-A ist in jedem dieser Diagnosebefehle ohne Fehler PS C:\Users\Administrator> netdom trust DOM-B /d:DOM-A /verify Der Befehl wurde nicht ordnungsgemäß ausgeführt. ________________________________ nltest /domain_trusts /v --> Alle Domains korrekt aufgeführt ________________________________ PS C:\Users\Administrator> nltest /sc_query:dom-a.local Fehler bei I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN ________________________________ PS C:\Users\Administrator> nltest /dsgetdc:.dom-a.local /FORCE Domänencontroller: \\ad3.dom-a.local Adresse: \\2*.0.*2.*3 Domänen-GUID: b*****-*****-*****-****-321** Domänenname: dom-a.local Gesamtstrukturname: dom-a.local DC-Standortname: dom-a-standortname Kennzeichen: GC DS LDAP KDC TIMESERV BESCHREIBBAR DNS_DC DNS_DOMAIN DNS_FOREST FULL_SECRET WS DS_8 DS_9 DS_10 Der Befehl wurde ausgeführt. ________________________________ nslookup -debug -type=srv _ldap._tcp.dc._msdcs.dom-a.local --> alles gut Hat jemand eine Idee? Danke schonmal vorab Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.