melon_icetea 0 Geschrieben 19. Juli 2023 Melden Teilen Geschrieben 19. Juli 2023 (bearbeitet) Hallo alle, aktuell befasse mich mit der Enhanced Security Admin Environment (ESAE) Konfiguration. Es kommt aktuell noch zu einer Fehlermeldung bei der Initiierung einer Vertrauensstellung zwischen den Domänen und deshalb wollte ich mal fragen, ob mir jemand eine Hilfestellung bieten kann. Unangetastet davon, dass Microsoft das Konzept ESAE nicht mehr empfiehlt, möchte ich mich an das Thema heranwagen. Hierzu habe ich meine Test-Domäne (test.wiese) und daneben eine cleanes Admin.Forest erstellt. Auf dem DNS-Server¹ habe ich eine Stub-Zone erstellt, die auf die andere Domäne referenziert und vice versa. Nach ein paar Sekunden habe ich ping & DNS-Kommunikation mittels PowerShell erfolgreich testen können. Nach der Erfolgsmeldung habe ich den Vertrauensstellungsprozess gestartet. Hierzu habe ich den Enterprise Admin der test.wiese Domäne genutzt, um die Vertrauensstellungseinstellung (domain.msc) zu öffnen und erstellte eine Vertrauensstellung zum Admin.Forest. Es stellt sich heraus, dass ich weder aus der einen noch aus der anderen Domäne eine Vertrauensstellung aufbauen kann, weil die RPC-Verbindung nicht hergestellt werden konnte. Die Windows Firewall habe ich in meinem Testsystem komplett deaktiviert. Dennoch bekomme ich dieselbe Fehlermeldung. Jemand eine Ahnung, woran es noch liegen kann? //edit ich habe mittels ProcMon den Prozess mitgeschnitten und werde mich mal schlaumachen. Vielleicht hilft es dem einen oder anderen zur genaueren Problemortung ¹ Die DNS Server sind jeweils die Root DCs der Domäne, d.h. dc-1 (test.wiese) und adm-dc-1 (admin.forest) Gruß melon_icetea bearbeitet 19. Juli 2023 von melon_icetea Titel angepasst Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 19. Juli 2023 Melden Teilen Geschrieben 19. Juli 2023 Warum Stubzone statt conditional Forwarder? Den Portchecker für genau solche Fälle habe ich vor einiger Zeit schon geschrieben: https://github.com/daabm/PowerShell/blob/master/Scripts/Test-TcpPorts.ps1 Aufruf mit -Computername <Name der Zieldomäne> -IncludeEPM Liefert Dir eine wunderbare Liste aller für Domänen relevanten Ports (die sind als Default im Skript hinterlegt) inkl. der dynamischen RPC-Ports. Vermutlich LSASS Remote Storage nicht erreichbar, weil ne Infrastruktur Firewall dazwischen hängt, aber das wäre jetzt Glaskugel Zitieren Link zu diesem Kommentar
melon_icetea 0 Geschrieben 19. Juli 2023 Autor Melden Teilen Geschrieben 19. Juli 2023 (bearbeitet) 2 hours ago, daabm said: Warum Stubzone statt conditional Forwarder? Den Portchecker für genau solche Fälle habe ich vor einiger Zeit schon geschrieben: https://github.com/daabm/PowerShell/blob/master/Scripts/Test-TcpPorts.ps1 Aufruf mit -Computername <Name der Zieldomäne> -IncludeEPM Liefert Dir eine wunderbare Liste aller für Domänen relevanten Ports (die sind als Default im Skript hinterlegt) inkl. der dynamischen RPC-Ports. Vermutlich LSASS Remote Storage nicht erreichbar, weil ne Infrastruktur Firewall dazwischen hängt, aber das wäre jetzt Glaskugel Hallo daabm, danke für deine Antwort und für den Link… teste ich gleich :) Ich nutze die bedingte Weiterleitung nicht, weil das eine Testumgebung ist und ich mit eventuellen IP-Adressänderungen herum teste und es daraufhin zu manuellen Anpassungen kommen muss, damit die Verbindung wieder läuft. Die Infrastruktur läuft auf VMware Workstation über den NAT Adapter. Ich schaue mal, was es noch sein kann. //edit die Ausgabe des Skriptes und vom Admin Forest zu Test bearbeitet 19. Juli 2023 von melon_icetea Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 19. Juli 2023 Melden Teilen Geschrieben 19. Juli 2023 Das sieht komplett wirr aus - entweder ist RPC offen oder zu, daß die Hälfte geht und die andere Hälfte nicht ist ungewöhnlich... Glaskugel hat dafür keine Antwort Die IPs, zu denen das jeweils auflöst, ist der jeweilige PDCe? Nur der kann Trusts erstellen... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.