domänenübergreifende Authentifizierung

[krx 10]

Hallo,

 

in meinem ersten Post in diesem Forum habe ich eine Verständnisfrage, vielleicht kann mir helfen:

 

In einer Testumgebung habe ich 2 Domänencontroller in einer Domänenstruktur:

Der erste ist der Root-Server einer Domänenstruktur (srv1.test.de).

Der zweite ist der Domänencontroller einer untergeordneten Domäne (srv2.edv.test.de).

 

Jetzt zur Frage: Kann der Domänencontroller der Domäne "test.de" (also der srv1) Benutzer aus der Domäne "edv.test.de" authentifizieren? D. h. kann er Benutzeranmeldungen für die untergeordnete Domäne abarbeiten wenn der DC der untergeordneten Domäne nicht zur Verfügung steht? Und umgekehrt?

 

In einer Versuchsumgebung klappt dieses nicht - vielleicht kann die gegenseitige Authentifizierung durch entsprechende Einstellungen ermöglicht werden?

 

 

Hintergrund ist die Frage, in Aussenstellen Domänen oder OUs einzurichten. Anwender reisen u. U. zwischen den Assenstellen, die untereinander netzwerkteschnisch wohl mit der Zentrale aber nicht direkt verbunden sind.

 

Grüße!

Klaus

[dmetzger 10]

Warum richtest Du für die Aussenstellen nicht einfach Sites in der gleichen Domäne ein? Jede Site benötigt einen DC, der auch als globaler Katalog konfiguriert ist. So passiert die Anmeldung in jedem Fall lokal (weniger Netzwerkverkehr), und jeder Mitarbeiter kann domänenweit auf die Ressourcen zugreifen, für die er berechtigt ist. Macht auch die Exchange-Verwaltung einfacher.

[krx 10]

Ja, der Meinung bin ich auch, aber es geht hier ja auch um eine Verständnisfrage, ob ein DC der Forest Root Domain Anwender aus anderen Unterdomänen authentifizieren kann.

 

Ich bin der Meinung, dass es nicht geht, ein Kollege ist der Ansicht, dass es gehen muß, aber wie kann er nicht sagen.

 

Ich denke, ein DC kann nur Anmeldungen entgegen nehmen aus genau der Domäne, deren DC er ist. Nicht zu verwechseln mit der Möglichkeit, Benutzern aus anderen Domänen Ressourcen zur Verfügung zu stellen.

[amichel 10]

Hallo prinzipiell geht das, da ja ein transitiver Trust zwischen den domains aufgebaut wird.

Aber:

bei DC's dürfen standardmäßig sich die Domain Admins der Domain und der übergeordneten Domain anmelden, aber nicht die Domain Admins der untergeordneten. Also mußt Du in diesem Fall den Domain Admins der Subdomain per GPO das Recht erteilen sich an dem DC der Root Domain anzumelden. "Allow Log on Locally" Oder "Allow Log on through Terminal Services".

ICh würde Dir auch empfehlen in diesem Falle die Plazierung der Operation Masters Roles zu beachten (http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/edeba401-7f51-4717-91bd-ddb1dca8a327.mspx)

und genug GC's zur Verfügung zu stellen.

 

Ach Ja: Ich kann dmetzgers Empfehlung nur unterstreichen

[grizzly999 11]

Darf Papa auch mal? :D

 

Nein, es geht nicht !

Einen Benutzer kann immer nur der Domänencontroller für die Domäne authentifizieren, in welcher der Benutzer geführt wird. Ein anderer DC kann die Authentifizierung weiterreichen (Pass-Through-Authntifizierung aufgrund des Trusts)

 

grizzly999

[amichel 10]

Hallo Papa :D

Da hast Du recht, wenn kein DC der entsprechenden Domain online ist, dann ist natürlich nada mit der Authentifizierung. Solange der aber online ist, und die Rechte stimmen, kann man sich auf einem Server/DC der Forest Root Domain auch mit einem Account einer Child domain anmelden.