5
Problem bei Zugriff über Domänengrenzen hinweg
Hallo zusammen,
wir haben folgendes Problem:
Wir sind gerade in einer Domänenmigration, d.h. neue Domäne neben der alten aufgebaut und gerade dabei die Resourcen und Benutzer zu migrieren.(Beides Windows 2003 Server SP2)
Zwischen den Domänen besteht daher ein beidseitiger Trust.
Einige unserer Server sind bereits in der neuen Domäne rübergezogen. Der Zugriff von Benutzern in beide Richtungen funktioniert durch Migration der SID soweit im lokalen Netz einwandfrei.
Unsere mobilen Mitarbeiter haben allerdings das Problem, daß sie nur an die Resourcen der jeweils eigenen Domäne kommen.
Ich denke, dass kommt durch den Umstand, das die Windows Anmeldung (Anmeldebildschirm) immer ohne bestehende Netzwerkwerkverbindung durchgeführt wird. Die VPN-Verbindung zu unserem Netzwerk wird erst danach über ein Script gestartet.
Wenn sich der Benutzer eingewählt hat, kann er auf die Resourcen seiner eigenen Domäne (also da wo Rechner Mitglied ist) zugreifen.
Beim Versuch, sich ein Laufwerk der anderen Domäne zuzuweisen, kommt immer, "Benutzer oder Kennwort falsch, geben SIe eine gültige .....". Gibt der Benutzer allerdings seine Kennung und Kennwort nochmal ein, funktioniert der Zugriff.
Beispiel:
Benutzer A ist mit seinem PC Mitglied der Domäne AA. Anmeldung mit Benutzer A ohne bestehende Netzverbindung. Der Benutzer bekommt eine Fehlermeldung wegen der fehlenden Netzerkverbindung, eine Anmeldung ist aber wegen derm "Cachen" der Kennung möglich.
Aufbau der Netzwerkverbindung über ein Einwahlscript. auf dem Desktop. Alle Laufwerke aus Domäne AA funktionieren.
Zugriffe in die neue Domäne BB werden zurückgewiesen. Gibt der Benutzer seine Kennung und Kennwort aus Domäne AA ein, funktioniert der Zugriff in die Domäne BB.
Per Netzmonitor sieht man, dass der PC nicht über die Anmeldedaten verfügt. Das Feld Domäne bzw. Kennung ist leer.
Wir haben auch schon per Policy und anonymer Zugriffe versucht, hat leider auch nichts gebracht.
Kennt dieses Problem vielleicht jemand und kann weiterhelfen ?
Vielen Dank.
Thorsten
wir haben folgendes Problem:
Wir sind gerade in einer Domänenmigration, d.h. neue Domäne neben der alten aufgebaut und gerade dabei die Resourcen und Benutzer zu migrieren.(Beides Windows 2003 Server SP2)
Zwischen den Domänen besteht daher ein beidseitiger Trust.
Einige unserer Server sind bereits in der neuen Domäne rübergezogen. Der Zugriff von Benutzern in beide Richtungen funktioniert durch Migration der SID soweit im lokalen Netz einwandfrei.
Unsere mobilen Mitarbeiter haben allerdings das Problem, daß sie nur an die Resourcen der jeweils eigenen Domäne kommen.
Ich denke, dass kommt durch den Umstand, das die Windows Anmeldung (Anmeldebildschirm) immer ohne bestehende Netzwerkwerkverbindung durchgeführt wird. Die VPN-Verbindung zu unserem Netzwerk wird erst danach über ein Script gestartet.
Wenn sich der Benutzer eingewählt hat, kann er auf die Resourcen seiner eigenen Domäne (also da wo Rechner Mitglied ist) zugreifen.
Beim Versuch, sich ein Laufwerk der anderen Domäne zuzuweisen, kommt immer, "Benutzer oder Kennwort falsch, geben SIe eine gültige .....". Gibt der Benutzer allerdings seine Kennung und Kennwort nochmal ein, funktioniert der Zugriff.
Beispiel:
Benutzer A ist mit seinem PC Mitglied der Domäne AA. Anmeldung mit Benutzer A ohne bestehende Netzverbindung. Der Benutzer bekommt eine Fehlermeldung wegen der fehlenden Netzerkverbindung, eine Anmeldung ist aber wegen derm "Cachen" der Kennung möglich.
Aufbau der Netzwerkverbindung über ein Einwahlscript. auf dem Desktop. Alle Laufwerke aus Domäne AA funktionieren.
Zugriffe in die neue Domäne BB werden zurückgewiesen. Gibt der Benutzer seine Kennung und Kennwort aus Domäne AA ein, funktioniert der Zugriff in die Domäne BB.
Per Netzmonitor sieht man, dass der PC nicht über die Anmeldedaten verfügt. Das Feld Domäne bzw. Kennung ist leer.
Wir haben auch schon per Policy und anonymer Zugriffe versucht, hat leider auch nichts gebracht.
Kennt dieses Problem vielleicht jemand und kann weiterhelfen ?
Vielen Dank.
Thorsten
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 158304
Url: https://administrator.de/contentid/158304
Ausgedruckt am: 21.11.2024 um 23:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo Thorsten,
ich könnte mir vorstellen, das es die Maschinenpolicies sind die dir Probleme machen.
Bringt dir ein gpupdate /sync bzw. ein gpupdate /force, mit einem anschließenden Neustart weiter?
Wie du schon sagst, meldet sich der Rechner nicht an der Domäne an, was ggf. zu diesen Problemen führen kann.
Gruß
Michael
ich könnte mir vorstellen, das es die Maschinenpolicies sind die dir Probleme machen.
Bringt dir ein gpupdate /sync bzw. ein gpupdate /force, mit einem anschließenden Neustart weiter?
Wie du schon sagst, meldet sich der Rechner nicht an der Domäne an, was ggf. zu diesen Problemen führen kann.
Gruß
Michael
Hallo Michael,
ein Gpupdate /force bzw. /sync hat leider auch nichts gebracht.
Thorsten
ein Gpupdate /force bzw. /sync hat leider auch nichts gebracht.
Thorsten
Hi Thorsten,
ist es möglich zu testen wie sich diese Notebooks im LAN verhalten, wenn sie nicht via VPN im Netz hängen?
So könnte man die Fehlerquellen weiter eingrenzen.
Gruß
Moesch
ist es möglich zu testen wie sich diese Notebooks im LAN verhalten, wenn sie nicht via VPN im Netz hängen?
So könnte man die Fehlerquellen weiter eingrenzen.
Gruß
Moesch
Hallo Michael,
im lokalen Netz funktioniert bei den Notebools alles prima bestens.
Das Problem tritt nur im mobilen Betrieb auf.
Thorsten
im lokalen Netz funktioniert bei den Notebools alles prima bestens.
Das Problem tritt nur im mobilen Betrieb auf.
Thorsten
Hallo Thorsten,
wenn die Notebooks, nach der Anmeldung im internen LAN, über VPN immernoch das gleiche Problem haben, können wir meiner Meinung nach Policies und Co ausschließen.
Ich meine gehörtzuhaben das ich Usern bei der VPN einwahl nochmal Domänen Informationen mitgegeben werden.
Dies ist z.B. bei einigen Cisco Geräten möglich.
Ist es möglich das es hier Einstellungen gibt, die auf die neue Domäne angepasst werden müssen?
Ich muss zugeben, das es reine Spekulation gibt, aber ich meine das es bei einem meiner Kunden ähnlich war. Bitte nicht drauf festnageln. Vielleicht weiß der Netzadmin mehr.
Gruß
Michael
wenn die Notebooks, nach der Anmeldung im internen LAN, über VPN immernoch das gleiche Problem haben, können wir meiner Meinung nach Policies und Co ausschließen.
Ich meine gehörtzuhaben das ich Usern bei der VPN einwahl nochmal Domänen Informationen mitgegeben werden.
Dies ist z.B. bei einigen Cisco Geräten möglich.
Ist es möglich das es hier Einstellungen gibt, die auf die neue Domäne angepasst werden müssen?
Ich muss zugeben, das es reine Spekulation gibt, aber ich meine das es bei einem meiner Kunden ähnlich war. Bitte nicht drauf festnageln. Vielleicht weiß der Netzadmin mehr.
Gruß
Michael
