8
Frage zum AD - Trust zwischen 2 Domänen - Abfrage Berechtigungen
Hallo zusammen,
Ich habe da ein Problem / Frage und es ist nicht so einfach zu erklären, aber ich probiere das mal.
Domäne A und Domäne B
Trust zwischen A und B vorhanden.
Gruppen in Domäne A haben Zugriff auf Ressourcen in Domäne B
Server in der Domäne B fragen Domäne A, hat der User Zugriff ?
Diese Abfrage ist mein "Problem"
Welches ?
Wir haben in 4 Standorten Domaincontroller der Domäne A.
Server der Domäne B fragen nun teilweise Domaincontroller der Domäne A ab, die aber "leitungstechnisch" teilweise ungünstig sind abzufragen,
bzw. dessen Wege (Switche Firewalls etc) zu lange sind.
Kann ich der Domäne B "vorgeben", welche Domaincontroller sie abfragen können / sollten ?
bzw. wenn ja -> wo ?
Vielen Dank
Ich habe da ein Problem / Frage und es ist nicht so einfach zu erklären, aber ich probiere das mal.
Domäne A und Domäne B
Trust zwischen A und B vorhanden.
Gruppen in Domäne A haben Zugriff auf Ressourcen in Domäne B
Server in der Domäne B fragen Domäne A, hat der User Zugriff ?
Diese Abfrage ist mein "Problem"
Welches ?
Wir haben in 4 Standorten Domaincontroller der Domäne A.
Server der Domäne B fragen nun teilweise Domaincontroller der Domäne A ab, die aber "leitungstechnisch" teilweise ungünstig sind abzufragen,
bzw. dessen Wege (Switche Firewalls etc) zu lange sind.
Kann ich der Domäne B "vorgeben", welche Domaincontroller sie abfragen können / sollten ?
bzw. wenn ja -> wo ?
Vielen Dank
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 299079
Url: https://administrator.de/forum/frage-zum-ad-trust-zwischen-2-domaenen-abfrage-berechtigungen-299079.html
Ausgedruckt am: 14.04.2025 um 19:04 Uhr
8 Kommentare
Neuester Kommentar
Hi,
erstmal zur Klarstellung: Sind das 2 Domänen in 2 verschiedenen Gesamtstrukturen?
Wenn es Domänen einer Gesamtstruktur sind, wir also von den internen, automatischen Vertrauensstellungen reden, dann müsste das funktionieren, wenn Du mit universellen Gruppen arbeitetst. Du musst nur dafür sorgen, dass an jedem Standort mit DC ein Global Catalog Server ist.
Wenn nicht, dann wird ein Server immer einen DC seiner Domäne bzw. einen DC der Domäne des Benutzer abfragen müssen, wenn er für den Benutzer eine Sitzung erstellen soll. Und wenn dann kein DC der anderen Domäne für diesen Server erreichbar ist, dann kann er halt nicht.
Der Server wird immer versuchen, die DCs der andere Domäne über DNS zu ermitteln. Man könnte also dafür sorgen, dass ein Server der Domäne B am Standort B1über DNS nur jene DC der Domäne A ermitteln kann, welche er auch tatsächlich erreichen kann. Andernfalls sollte der Server aber auch versuchen, alle DC's, welche er für die Domäne A via DNS ermittelt, der Reihe nach abzuklappern, bis er einen erreichbaren gefunden hat.
E.
erstmal zur Klarstellung: Sind das 2 Domänen in 2 verschiedenen Gesamtstrukturen?
Wenn es Domänen einer Gesamtstruktur sind, wir also von den internen, automatischen Vertrauensstellungen reden, dann müsste das funktionieren, wenn Du mit universellen Gruppen arbeitetst. Du musst nur dafür sorgen, dass an jedem Standort mit DC ein Global Catalog Server ist.
Wenn nicht, dann wird ein Server immer einen DC seiner Domäne bzw. einen DC der Domäne des Benutzer abfragen müssen, wenn er für den Benutzer eine Sitzung erstellen soll. Und wenn dann kein DC der anderen Domäne für diesen Server erreichbar ist, dann kann er halt nicht.
Der Server wird immer versuchen, die DCs der andere Domäne über DNS zu ermitteln. Man könnte also dafür sorgen, dass ein Server der Domäne B am Standort B1über DNS nur jene DC der Domäne A ermitteln kann, welche er auch tatsächlich erreichen kann. Andernfalls sollte der Server aber auch versuchen, alle DC's, welche er für die Domäne A via DNS ermittelt, der Reihe nach abzuklappern, bis er einen erreichbaren gefunden hat.
E.
Hi,
emeriks hat Recht und du solltest lieber in ein besseres Netz investieren.
Clients kann man per nltest zwingen den DC zu wechseln.
Ob das auch für DC selbst funktioniert weiss ich nicht, aber ist vielleicht ein Ansatz.
VG Gahmuret
emeriks hat Recht und du solltest lieber in ein besseres Netz investieren.
Clients kann man per nltest zwingen den DC zu wechseln.
Ob das auch für DC selbst funktioniert weiss ich nicht, aber ist vielleicht ein Ansatz.
VG Gahmuret
Hallo emeriks,
2 Domänen in 2 verschiedenen Strukturen - ja.
Erreichbar aus der Domäne B -> Anfragen an Domäne A ob der User darf funktioniert ja generell immer.
Mein Problem an der Sache ist nur die, das Domäne B teilweise zuerst einen DC fragt, der ggf "weit" weg ist oder langsame Leitung hat.
Kann ich den DCs der Domäne B "irgendwie" sagen, nutze nur bestimmte DCs der Domäne B
@Gahmuret
In ein besseres Netz investieren ??? -> ich gebe dir gerne die Kontodaten der Firma in der ich arbeite
Dann bekommen wir das hin.
nltest schau ich mir mal an
2 Domänen in 2 verschiedenen Strukturen - ja.
Erreichbar aus der Domäne B -> Anfragen an Domäne A ob der User darf funktioniert ja generell immer.
Mein Problem an der Sache ist nur die, das Domäne B teilweise zuerst einen DC fragt, der ggf "weit" weg ist oder langsame Leitung hat.
Kann ich den DCs der Domäne B "irgendwie" sagen, nutze nur bestimmte DCs der Domäne B
@Gahmuret
In ein besseres Netz investieren ??? -> ich gebe dir gerne die Kontodaten der Firma in der ich arbeite
Dann bekommen wir das hin.nltest schau ich mir mal an
Kann ich den DCs der Domäne B "irgendwie" sagen, nutze nur bestimmte DCs der Domäne B
Habe ich ja dann erläutert.Der Server aus B darf über DNS eben nicht alle DC der Domäne A gelifert bekommen. Sprich, sein DNS-Server, welchen er abfragt, muss eine Zone für die Domäne A haben, in welcher nur SRV-Records für DC's der Domäne A sind, welche er abfragen darf.
irgendwas ist da krumm...
da stehen nur 2 DCs drin ( die auch drinstehen sollen)
Pinge ich aber die Domäne A an von einem Server in Domäne B liefert er mir auch andere DCs.
Server in Domäne B haben als DNS nur die DCs der Domäne A mit den Einträgen für Domäne A.
das ist verwirrend..
da stehen nur 2 DCs drin ( die auch drinstehen sollen)
Pinge ich aber die Domäne A an von einem Server in Domäne B liefert er mir auch andere DCs.
Server in Domäne B haben als DNS nur die DCs der Domäne A mit den Einträgen für Domäne A.
das ist verwirrend..
Verwirrend ist erstmal nur Dein Text ... 
Server in Domäne B haben als DNS nur die DCs der Domäne A mit den Einträgen für Domäne A.
Kannst du das bitte mal übersetzen?
Im DNS Server der Domäne B stehen für die Domäne A 2 Server drin (2 DCs mit ihren FQDNs)
(so wie es auch sein sollte, da die anderen DCS da nicht auftauchen sollen)
Pinge ich aber von einem beliebigen Server der Domäne B den Domainnamen der Domäne A bekomm ich
Antworten von den anderen DCs der Domäne A, die nicht im DNS der Domäne B drinstehen.
Von den Servern, wo ich das probiert habe, sind auch die richtigen (genau 2) DNS Server der Domäne B eingetragen.
Woher bekommen die Server (wo ich getestet habe) die anderen DCs her ?
Wenn ich einen DNS Eintrag erstelle in der Domäne "contoso.com" mit der IP 192.168.1.1 (same as parent folder) z.b.
und pinge contoso.com - sollte ich keine Antwort von einer 192.168.1.100 bekommen ?!
(so wie es auch sein sollte, da die anderen DCS da nicht auftauchen sollen)
Pinge ich aber von einem beliebigen Server der Domäne B den Domainnamen der Domäne A bekomm ich
Antworten von den anderen DCs der Domäne A, die nicht im DNS der Domäne B drinstehen.
Von den Servern, wo ich das probiert habe, sind auch die richtigen (genau 2) DNS Server der Domäne B eingetragen.
Woher bekommen die Server (wo ich getestet habe) die anderen DCs her ?
Wenn ich einen DNS Eintrag erstelle in der Domäne "contoso.com" mit der IP 192.168.1.1 (same as parent folder) z.b.
und pinge contoso.com - sollte ich keine Antwort von einer 192.168.1.100 bekommen ?!
Da must Du jetzt zwei Sachen unterscheiden.
Wenn Du eine abgespeckte Zone von "_msdcs.domainA.local" auf einem DNS von B hast, dann gelten für diese Zone nur diese Records. Der DNS-Client verwendet danach nur die aus dieser Zone gelieferten FQDN.
Wenn Du aber die Domäne anpingst, dann hat der DNS von B diese Zone nicht und fragt deswegen den DNS von A. Und dieser liefert im Round Robin (wenn nicht deaktiviert) die DCs dieser Domäne. Das ist OK so.
Mach mal von einem Server in B nen nslookup
Da sollten dann nur die von Dir eingetragenen DC's gemeldet werden.
Hinweis: Dass die Zone "_msdcs.domainA.local" deswegen jetzt im Split-Brain ist und nicht mehr zwischen den DNS von A und B repliziert werden darf, ist klar?
Im DNS Server der Domäne B stehen für die Domäne A 2 Server drin (2 DCs mit ihren FQDNs)
Du meinst hier auch sicher nur die SRV-Records unter "_msdcs.domainA.local"?Pinge ich aber von einem beliebigen Server der Domäne B den Domainnamen der Domäne A bekomm ich Antworten von den anderen DCs der Domäne A, die nicht im DNS der Domäne B drinstehen.
Das ist nicht schlimm. Die DNS-Server von B werden da eine Weiterleitung zu den DNS-Servern von A haben, oder?Wenn Du eine abgespeckte Zone von "_msdcs.domainA.local" auf einem DNS von B hast, dann gelten für diese Zone nur diese Records. Der DNS-Client verwendet danach nur die aus dieser Zone gelieferten FQDN.
Wenn Du aber die Domäne anpingst, dann hat der DNS von B diese Zone nicht und fragt deswegen den DNS von A. Und dieser liefert im Round Robin (wenn nicht deaktiviert) die DCs dieser Domäne. Das ist OK so.
Mach mal von einem Server in B nen nslookup
1
nslookup -type=SRV _ldap._tcp.dc._msdcs.domainA.localDa sollten dann nur die von Dir eingetragenen DC's gemeldet werden.
Hinweis: Dass die Zone "_msdcs.domainA.local" deswegen jetzt im Split-Brain ist und nicht mehr zwischen den DNS von A und B repliziert werden darf, ist klar?
