Vertrauensstellung - RPC-Verbindung nicht möglich

[melon_icetea 0]

Hallo alle,

aktuell befasse mich mit der Enhanced Security Admin Environment (ESAE) Konfiguration. Es kommt aktuell noch zu einer Fehlermeldung bei der Initiierung einer Vertrauensstellung zwischen den Domänen und deshalb wollte ich mal fragen, ob mir jemand eine Hilfestellung bieten kann.

Unangetastet davon, dass Microsoft das Konzept ESAE nicht mehr empfiehlt, möchte ich mich an das Thema heranwagen.

 

Hierzu habe ich meine Test-Domäne (test.wiese) und daneben eine cleanes Admin.Forest erstellt.

 

Auf dem DNS-Server¹ habe ich eine Stub-Zone erstellt, die auf die andere Domäne referenziert und vice versa.

 

Nach ein paar Sekunden habe ich ping & DNS-Kommunikation mittels PowerShell erfolgreich testen können.

Nach der Erfolgsmeldung habe ich den Vertrauensstellungsprozess gestartet. Hierzu habe ich den Enterprise Admin der test.wiese Domäne genutzt, um die Vertrauensstellungseinstellung (domain.msc) zu öffnen und erstellte eine Vertrauensstellung zum Admin.Forest. Es stellt sich heraus, dass ich weder aus der einen noch aus der anderen Domäne eine Vertrauensstellung aufbauen kann, weil die RPC-Verbindung nicht hergestellt werden konnte.  Die Windows Firewall habe ich in meinem Testsystem komplett deaktiviert. Dennoch bekomme ich dieselbe Fehlermeldung. Jemand eine Ahnung, woran es noch liegen kann?

 

 

 

//edit ich habe mittels ProcMon den Prozess mitgeschnitten und werde mich mal schlaumachen. Vielleicht hilft es dem einen oder anderen zur genaueren Problemortung

 

¹ Die DNS Server sind jeweils die Root DCs der Domäne, d.h. dc-1 (test.wiese) und adm-dc-1 (admin.forest)

 

Gruß melon_icetea

bearbeitet 19. Juli 2023 von melon_icetea
Titel angepasst

[daabm 1.348]

Warum Stubzone statt conditional Forwarder? Den Portchecker für genau solche Fälle habe ich vor einiger Zeit schon geschrieben: https://github.com/daabm/PowerShell/blob/master/Scripts/Test-TcpPorts.ps1

Aufruf mit -Computername <Name der Zieldomäne> -IncludeEPM

Liefert Dir eine wunderbare Liste aller für Domänen relevanten Ports (die sind als Default im Skript hinterlegt) inkl. der dynamischen RPC-Ports. Vermutlich LSASS Remote Storage nicht erreichbar, weil ne Infrastruktur Firewall dazwischen hängt, aber das wäre jetzt Glaskugel

[melon_icetea 0]

2 hours ago, daabm said:

Warum Stubzone statt conditional Forwarder? Den Portchecker für genau solche Fälle habe ich vor einiger Zeit schon geschrieben: https://github.com/daabm/PowerShell/blob/master/Scripts/Test-TcpPorts.ps1

Aufruf mit -Computername <Name der Zieldomäne> -IncludeEPM

Liefert Dir eine wunderbare Liste aller für Domänen relevanten Ports (die sind als Default im Skript hinterlegt) inkl. der dynamischen RPC-Ports. Vermutlich LSASS Remote Storage nicht erreichbar, weil ne Infrastruktur Firewall dazwischen hängt, aber das wäre jetzt Glaskugel

Hallo daabm, danke für deine Antwort und für den Link… teste ich gleich :)

Ich nutze die bedingte Weiterleitung nicht, weil das eine Testumgebung ist und ich mit eventuellen IP-Adressänderungen herum teste und es daraufhin zu manuellen Anpassungen kommen muss, damit die Verbindung wieder läuft. Die Infrastruktur läuft auf VMware Workstation über den NAT Adapter. Ich schaue mal, was es noch sein kann.

 

//edit die Ausgabe des Skriptes

 

und vom Admin Forest zu Test

 

bearbeitet 19. Juli 2023 von melon_icetea

[daabm 1.348]

Das sieht komplett wirr aus - entweder ist RPC offen oder zu, daß die Hälfte geht und die andere Hälfte nicht ist ungewöhnlich... Glaskugel hat dafür keine Antwort

Die IPs, zu denen das jeweils auflöst, ist der jeweilige PDCe? Nur der kann Trusts erstellen...