Zugriffsprobleme Vertrauensstellung

[dvbuddy 14]

Hallo,

ich habe folgendes Problem bei einer Migration:

Ich habe 2 Domänen. 1x NT und 1x 2003 mit einer funktionierenden Bidirektionalen Vertrauensstellung. Die NT Domäne ist auf drei Standorten verteilt und mit VPN verbunden.

Der 2003er Domänenkontroller ist in der Zentrale. Hier habe ich eine Freigabe mit Berechtigung für beide Domänen erstellt.

Nun das Problem:

Wenn ich aus der Zentrale auf die Freigabe zugreifen will, ist dies von beiden Domänen ohne Probleme möglich.

Wenn ich dies von einem anderen Standort (anderes Subnet) mache funktionert das nur mit einem Rechner der schon in der 2003er Domäne ist. Die (XP) Rechner aus der NT Domäne (im anderen Subnet) können nicht zugreifen.

Ich habe auf schon mal des Computerkonte der 2003er Domäne hinzu gefügt (Mit ADMT2.0). Bringt aber auch nichts.

Wenn ich die effektiven Berechtigungen auf der Freigabe (oder Datei in der Freigabe) prüfe, ist es Usern der NT Domäne erlaubt zuzugreifen.

Wenn ich in die Netzwekumgebung die 2003er Domäne klicke kann ich die Mitglieder sehen, aber sobald ich einen Rechner auswähle darf ich nicht zugreifen.

 

Hat jemand eine Idee?

[dvbuddy 14]

Gar keiner eine Idee?:shock:

[lefg 276]

Gar keiner eine Idee?:shock:

Keine wirkliche, nur Fragen.

 

In derZentrale ist von einem Rechner der NT-Domäne also ein Zugriff auf Ressourcen der 2k3-Domäne möglich?

 

Von einer Aussenstelle ist von einem Rechner der NT-Domäne kein Zugriff auf Ressourcen der 2k3-Domäne möglich?

[dvbuddy 14]

Ja und Ja.

Da liegt ja der Gedanke nahe, das von den VPN Routern irgendwelche Protokolle blockiert werden. Dagegen spricht aber wieder, das wenn man einen Rechner von der Außenstelle ohne weitere Veränderungen aus der NT Domäne raus nimmt und der neuen 2003er zufügt, dann ohne Probleme zugreifen kann.

[gysinma1 13]

Hallo Zusammen

 

Wir betreiben ein Grossenvironment (25 000 Personen) mit einem solchen one-way-trust aus einer NT4.0 in eine 2K3 Domain.

 

Verschiedentlich hatten wir dieselben Probleme und die waren meist hervorgerufen durch WINS Probleme. Da die NT-Domain die 2K3 Domain lediglich auf dem WINS Server "sucht" ist wichtig, dass dort die gesamten WINS Records der 2K3 Domain und der NT Domain eingetragen sind (Masterbrowser, Domainname und Workstation). Sonst finden sich die DCs gegenseitig nicht. Ebenso ist wichtig, dass die Ports von WINS in VPN nicht gefiltert sind.

 

Zusätzlich sollte auf der 2K3 Domain ein dedizierter DNS forwarder auf die NTDomain eingerichtet sein.

 

Da der NT4.0 PDC fuer den Trust die Netbios Namensgebung verwendet sollten auch diverse pings weiterhelfen.

 

Ping netbiosname ntdomain von windows 2003 fsmo pdc

Ping netbiosname 2k3 domain von nt pdc

Ping fqdnname ntdomain von windows 2003 fsmo pdc

Ping fqdnname 2k3 domain von nt pdc

 

Überprüfe auch die ipconfig-all v.a. die Einträge der WINS/DNS Server für die DCs. Die WINS und DNS immer innerhalb der eigenen Domain verwenden. Die Workstation sollten immer auch die WINS/DNS Server der zugehörenden "ResourceDomain" haben.

 

Unklar ist mir leider wie die Fehlermeldung exakt bei einen "net use" in der DOS Box aussieht. Wir hatten zynischerweise die Meldung "there are no logon servers available". Ich seh das erst jetzt. Trotzdem lasse ich das obige mal drin. Vielleicht kanns helfen.

 

 

Gruss,

 

Matthias

[dvbuddy 14]

Hallo,

Problem gelöst!

Ich habe nun aufgrund des Hinweises und der Überprüfungen einfach einen WINS Server auf dem windows 2003 fsmo pdc eingerichtet und mit dem der NT Domäne replizieren lassen. Funzt jetzt alles!!!

 

Danke für die schnelle Hilfe :D :D :D