kollisionskurs
Goto Top

Vertrauensstellung zwischen zwei Domänen eingerichtet - kann keine Benutzer aus der vertrauten Domäne berechtigen

Hallo,

wir haben zwei Standorte mit zwei unterschiedlichen kleinen Domänen. Also keine Sub-Domänen etc....sondern zwei bisher "unabhängig" voneinander wirkende Netze/Domänen - Historisch so gewachsen.

Domäne/Standort FirmaXY.de Domänencontroller unter Win 2000 Server
Domäne/Standort FirmaXY.int Domänencontroller unter Win 2003 Server
Vertrauensstellung: bidirekt, nicht transient

Die Anforderung wächst jetzt immer mehr das Benutzer aus der Domäne A auf Dienste in der Domäne B zugreifen sollen - und natürlich in die andere Richtung.

Also haben wir zwischen den Domänen eine Vertrauensstellung eingerichtet (die Überprüfung meldet auch das diese aktiv sei) - die DNS Server wurden angepasst bzw. spiegeln wir die Zonen. Das scheint alles zu passen bzw. war auch vom Aufwand her überschaubar.

Nach dem alles eingerichtet wurde sehe ich auch die zweite Domäne als Auswahloption in der Anmeldungsmaske.

Mitarbeiter aus der vertrauten Domäne können sich an der vertrauenden Domäne anmelden - und umgekehrt.
Möchte ich ein Verzeichnis etc. freigeben - öffne ich den Dialog, wechsle unter "Pfad" auf die andere Domäne, und suche/browse mir den Benutzer aus der anderen bzw. entfernten Domäne heraus.

Auch das funktioniert - allerdings wird der ausgewählte Benutzer (aus der "gegenüberliegenden" Domäne) nur anhand seiner SID aufgeführt. Berechtige ich als einen User "Max Müller" - sehe ich anschliessend nur seine SID im Freigabe-Fenster.

- Normales Verhalten oder wird da etwas quasi nicht korrekt "aufgelöst"?

Das andere Problem sind die anderen Applikationen: Im VSphere Client von VMWare habe ich jetzt (bei der Berechtigungsvergabe) auch die Möglichkeit auf die andere Domäne zu wechseln. Es werden allerdings keine Benutzer aufgelistet - bzw. eine globale Suche findet nichts (in der eigenen Domäne logischerweisse schon). Trage ich in der Suchfunktion einen Namen ein wird dieser aber gefunden...beim "hinzufügen" erscheint allerdings:

Benuzer wird validiert:
Falscher Benutzername
Die folgenden Namen konnten nicht gefunden und hinzugefügt werden: Domäne\UserXYZ

Die folgenden Fehler sind beim Überprüfen der Namen aufgetreten:

Domäne\UserXYZ - Ein allgemeiner Systemfehler ist aufgetreten: Authorize Exception

Beim SQL Server das gleiche

TITEL: Microsoft SQL Server Management Studio
Der Windows NT-Benutzer oder die -Gruppe 'Domäne\UserXYZ' wurde nicht gefunden. Überprüfen Sie den Namen. (Microsoft SQL Server, Fehler: 15401)

Sharepoint und Project-Server das selbe! Server sind alle in der Domäne etc. Ausführung als Domänen-Admin

Mir ist der Unterschied nicht ganz klar...generell habe ich Zugriff auf die vertraute Domäne, kann Benutzer browsen und diese auch unter Windows berechtigen. Nur der Zugriff aus den Programmen geht nicht.

Bin mehr oder weniger in das "administrative" Thema hinein gerutscht - deshalb auch für jede Hilfestellung dankbar!

Gruß Koll.

Content-ID: 148419

Url: https://administrator.de/contentid/148419

Ausgedruckt am: 13.11.2024 um 11:11 Uhr

60730
60730 05.08.2010 um 14:02:10 Uhr
Goto Top
Moin,

ganz kurze banale gegenfrage:

  • Wie sind die beiden Domainen verbunden?

allerdings wird der ausgewählte Benutzer (aus der "gegenüberliegenden" Domäne) nur anhand seiner SID aufgeführt.

Da ist was faul....

  • Entweder - stellt Ihr in jeden Standort einen DC vom jeweiligen anderen Standort hin. (das kann auch ne VM sein)
  • Oder Ihr überlegt, ob es nicht über kurz oder lang doch sinniger ist - auf eine große Domain mit zwei Standorten umzustellen.


Gruß
Kollisionskurs
Kollisionskurs 05.08.2010 um 14:17:54 Uhr
Goto Top
Moinsen,

die Domänen sind via Standleitung bzw. VPN verbunden - zwischen den Standorten sind es ein paar 100km.

Die Konstellation mit der großen Domain und den beider angesiedelten Standorten halte ich auch für das beste - allerdings so schnell nicht umsetzbar.

Ich denke das ich kurz vor dem Ziel bin...allerdings fehlt noch das letzte Mosaik.

Denke der beste Ansatz ist mit dem nicht aufgelösten Namen bzw. der Tatsache das nach dem berechtiges eine Users, dieser nur durch seine SID dargestellt wird (SID-Filter = deaktiviert.)
?

Grüße