markos
Goto Top

Gesamstrukturvertrauensstellung arbeitet nicht korrekt

Hallo,

mein Name ist Marko und ich bin neu hier. Ich arbeite in einer Firma die vor kurzem eine andere Firma "gekauft" hat. Nun soll ich die beiden Netzwerke über eine Vetrauensstellung miteinander verbinden.

Folgende Domänenspezifikationen sind vorhanden:

Domäne
süd.loc

Domäne
enterprise.loc

Domäne
nord.enterprise.loc


Die Domäne süd ist eine eigenständige Gesamtstruktur.
Die Domäne enterprise.loc ist die Rootdomäne und die nord.enterprise.loc die dazugehörige subdomäne.
Beide Gesamtsrukturen befinden sich im Domänen und Gesamtsrukturmodus 2003.
Die DNS Server sind eingerichtet über eine bedingte Weiterleitung.
Die entsprechende Domänensuffixe werden auch automatisch bei Bedarf angehängt.

Geplant ist folgendes:
Gesamtstrukturvertrauensstellung bidirektional mit selektiver Authentifizierung
Wenn ich eine Gesamtstrukturvertrauensstellung in der Enterprise.loc erstelle müsste ich doch auch auf die nord.enterprise.loc zugreifen können, da das Ganze dann ja transitiv ist, oder?
Alle Vertrauensstellungen habe ich bereits mit der Möglichkeit zur Überprüfung erfolgreich überprüft.


Folgende Aktionen habe ich bisher gemacht:

Ich habe eine Gesamtstrukturvertrauensstellung bidirektional erstellt. In der Domäne süd.loc konnte ich leider gar keine Gesamtstrukturvertrauensstellung auswählen, sondern er hat gleich eine Externe automatisch erstellt. In der MMC Konsole wird nun folgendes angezeigt:

Outgoing Trust:


Domainname Trusttype Transitivity
Enterprise.loc Forest yes
North.Enterprise.loc External no


Incoming Trust:


Domainname Trusttype Transitivity
Enterprise.loc Forest yes
North.Enterprise.loc External no


Was habe ich falsch gemacht?

Ich habe in der Domäne süd.loc eine universale Gruppe erstellt um Benutzer der Domäne nord.enterprise.loc dort einzufügen um den Zugriff zu regeln. Wenn ich Benutzer einfügen möchte muss ich in der MMC die Quelldomäne auswählen, in der sich die User befinden. Leider wird dort nur die Domäne süd.loc angezeigt, also ich kann nicht auswählen zwischen den Domänen.

Wo liegt das Problem?

Vielen Dank für eure Hilfe

Content-ID: 100398

Url: https://administrator.de/forum/gesamstrukturvertrauensstellung-arbeitet-nicht-korrekt-100398.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

edv-verwertung
edv-verwertung 28.10.2008 um 08:52:28 Uhr
Goto Top
Guten Morgen,

so schwere sachen und das so früh... face-smile

Grundlegend liegt das an dem Problem, das die domäne "süd.loc" nicht zum gesamt Forest gehört also zur "Enterprise.loc" Es wird auch nicht gehen, das du andere Benutzer da hinzufügen kannst, weil es 2 föllig unterschiedliche Gesamtstrukturen sind, also jeder hat seinen eigenen Forest. Was abhilfe schafft, wäre das Metadirektory von MS, was aber ein recht kostenintensiver spaß ist und man sich das wirklich sehr genau überlegen sollte, dies zu realisieren, da unter umständen einige Dienste nicht mehr so laufen wie gewohnt. Das Metadirektory stülpt sich über beide forests, so das wieder ein gesammter Forest entsteht, aber dies kann nur von MS selber implementiert und aufgesetzt werden, als normal sterblicher, keine chance.

Die einfachste möglichkeit ist, dies zu lösen, einen weiteren DC mit einer domain in die Gesamtstruktur zu installieren und die Benutzer zu migrieren, gibt weniger Probleme, als das ewige hin und her gebastel, da es eh nicht funktioniert, da 2 unterschiedliche Forests nicht zusammen geschaltet werden können. Die vertrauensstellung, die du da eingerichtet hast funktioniert nicht wirklich, wie du sicherlich schon mit bekommen hast.

wenn du Unterstützung bei der Migration brauchst, kannst dich gerne hier melden oder perr PN, aberr das ist die einzige möglichkeit sein, die beiden Firmen vernünftig zu verschachteln, wobei das noch viele vorteile mit sich bringt, man kann altbalasten und sonnstige leichen aus dem keller endlich mal entfernen.

Gruß
Kai
Markos
Markos 28.10.2008 um 09:00:25 Uhr
Goto Top
Erstmal vielen Dank für deine Antwort... face-smile

Gibt es denn keine andere Möglichkeit die zwei Domänen miteinander zu verbinden? Verknüpfungsvertrauensstellung oder ganz normale externe ? Ziel ist es lediglich, dass User auf Files und Drucker zugreifen können...

Das ist ja sonst ein Megaaufwand und würde die Auswahlmöglichkeit des externen Trusts und Verknüpfungstrust quasi überflüssig machen, wenn man die nicht gebrauchen kann?! Ein externer Trust ist doch eigentlich dazu da , zwei völlig fremde Domänen zu verbinden?! User der Domäne süd.loc sollen nur auf die Domäne nord.enterprise.loc zugreifen können. Mehr nicht.

Wann kann ich dann Benutzer der anderen Domäne zur eigenen hinzufügen?
60730
60730 28.10.2008 um 10:09:55 Uhr
Goto Top
Servus,
nur eine ganz banale Frage - heißt die eine Domain tasächlich "SÜD.loc" - so "richtig" mit Umlauten?

Wenn ja - dann stell dich auf große Probleme damit ein.

Gruß
Markos
Markos 28.10.2008 um 10:18:03 Uhr
Goto Top
hi, nein sie heißt komplett anders ohne Umlaute... Umlaute in der Computertechnik bzw Netzwerktechnik ist wie Sand in nem Getriebe face-wink, das ist mir bewusst face-smile
Markos
Markos 28.10.2008 um 11:31:12 Uhr
Goto Top
so habe ich mir die Vertrauensstellung vorgestellt:

http://technet.microsoft.com/en-us/library/cc772808.aspx
Markos
Markos 30.10.2008 um 07:34:14 Uhr
Goto Top
Ich habe mir nun eine andere Strategie ausgedacht und verwirkliche das Ganze über externe Vetrauensstellungen... Da die Domäne, der vertraut werden soll, keine anderen Domänen vertraut braucht Sie nihct transitiv zu sein... externe Vertrauensstellung funktioniert bisher ohne Probleme und auch der erste Benutzer konnte sich nun schon mit dem Benutzeraccount aus der anderen Domäne anmelden...

Danke nochmals für die Hilfestellungen