Einrichtung bidirektionale Vertrauensstellung zwischen zwei Domänen

[chrismue 96]

Hallo,

 

ein Kunde von uns möchte zu eine Vertrauensstellung zwischen seiner Domäne und der Domäne eines Partnerunternehmens herstellen.

Ziel soll sein, dass wechselseitig auf bestimmte Ressourcen (hauptsächlich Fileserver) zugegriffen werden kann.

 

Domäne A (Kunde) -> Gesamtstrukturfunktionsebene & Domänenfunktionsebene Server 2012R2

Domäne B (Partner) -> Gesamtstrukturfunktionsebene & Domänenfunktionsebene Server 2016

 

Kurzfristig ist es nicht möglich, die Funktionsebene Domäne A hochzustufen.

 

Ich habe mich ein bisschen eingelesen, und würde wie folgt vorgehen:

 

- Einrichtung eines Site2Site VPN

- Domäne A Einrichten einer bedingten Weiterleitung für Domäne B

- Domäne B Einrichten einer bedingten Weiterleitung für Domäne A

- Domäne A Ausführen des Assistenten für neue Vertrauensstellung

- Domäne B Ausführen des Assistenten für neue Vertrauensstellung

- Domäne A Einrichten der Benutzergruppen von Domäne B

- Domäne B Einrichten der Benutzergruppen von Domäne A

- Setzen der NTFS Berechtigungen

 

Passt das so im Groben?

Habe ich etwas Wichtiges vergessen?

Gibt es irgendwelche bekannten Fallstricke?

 

Danke für euren Input

 

chrismue

[daabm 1.348]

Wäre mir neu, daß Trusts Schwierigkeiten mit unterschliedlichen DFL/FFL hätten

Statt der Conditional Forwarder könntest Du auch Secondar DNS verwenden - aber das hängt vom Gesamtdesign ab (DHCP/DNS).

Und wenn da "nur auf bestimmte Ressourcen" zugegriffen werden soll, dann sollte selektive Authentifizierung auf dem Trust aktiviert werden. Sonst sind alle überall "Authentifizierter Benutzer".

 

[chrismue 96]

So, kurzes Update.

Ich habe heute schmerzvoll festgestellt, dass beide Domains den gleichen NETBios-Namen haben und somit die Einrichtung der Vertrauensstellung momentan nicht möglich ist.

Wir erörtern grade die Möglichkeiten, den NETBios Namen der kleineren Domäne B zu ändern.

 

Gruß

chrismue

[NorbertFe 2.027]

vor 10 Minuten schrieb chrismue:

Ich habe heute schmerzvoll festgestellt, dass beide Domains den gleichen NETBios-Namen haben und somit die Einrichtung der Vertrauensstellung momentan nicht möglich ist.

 

 Dass man über sowas noch stolpert.

vor 17 Minuten schrieb chrismue:

Wir erörtern grade die Möglichkeiten, den NETBios Namen der kleineren Domäne B zu ändern.

 

Solange kein Exchange im AD war/ist, geht das schon, im Allgemeinen. Ist halt die Frage, wie klein "kleiner" ist und was alles drin hängt. Evtl. ist dann die Migration in eine neue oder in die größere Domain dann doch die "einfachere" Variante.

[chrismue 96]

Hallo Norbert,

 

in der Domäne A gab es mal Exchange, die sind aber jetzt auf Exchange Online migriert.

Hier gibt es nur noch den AD Sync, keinen lokalen Exchange mehr.

 

In Domäne B, die grade mal ein  Jahr alt ist, gab es keinen lokalen Exchange.

Die sind direkt mit Exchange Online gestartet.

 

Domäne A hat 3 DCs, 12 Memberserver und ca 150 Clients.

Domäne B hat 2 DCs 1 Memberserver und 10 Clients.

 

Von daher ist die Umbenennung von Domäne B im Moment bevorzugt.

 

Gruß

chrismue

 

 

bearbeitet 23. November 2022 von chrismue

[NorbertFe 2.027]

vor 18 Minuten schrieb chrismue:

in der Domäne A gab es mal Exchange, die sind aber jetzt auf Exchange Online migriert.

 

Wäre egal. Es geht um das Exchange Schema und das bleibt ja zurück, auch wenn man Exchange deinstalliert.

[cj_berlin 1.306]

vor 55 Minuten schrieb NorbertFe:

Wäre egal. Es geht um das Exchange Schema und das bleibt ja zurück, auch wenn man Exchange deinstalliert.

Verhindert aber nicht RENDOM.

Auch Exchange im Forest verhindert nicht RENDOM, funktioniert danach halt einfach nicht mehr  

Ich würde migrieren. 

[NilsK 2.930]

Moin,

 

Bei 10 Clients könnte man auch darüber nachdenken, einfach neu anzulegen.

 

Gruß, Nils

 

[daabm 1.348]

Ich auch. Wegen 10 Clients benenne ich keine Domäne um...