
97872
02.07.2013
Zugriff auf zwei Domänen...Vertrauensstellung notwendig?
Hallo Zusammen,
wir bekommen in unserer Firma demnächst einen neuen Server. Dieser ist für eine von uns neu gegründete Firma gedacht um die Firmen Datentechnisch voneinander zu trennen und um bei einer späteren eventuellen räumlichen Trennung der Firmen den neuen Server einfach in das neue Firmengebäude mitnehmen zu können.
Der neue Server wird folglich auch eine eigene Domäne eingerichtet bekommen und fungiert als Domänencontroller. Als Betriebssystem für den neuen Server bietet sich wegen des integrierten Exchange Servers SBS 2011 an. Dieser bietet allerdings bekannterweise keine Möglichkeit zur Vertrauensstellung.
Da aber nun ausgewählte Mitarbeiter auf beide Domänen zugreifen sollen können, frage ich mich, ob dazu zwingend eine Vertrauensstellung notwendig ist. Wenn ich nun in beiden Domänen Benutzerkonten mit den selben Namen und Passwörtern einrichte, sollte es doch beim Dateizugriff (Netzlaufwerke etc.) keine Probleme geben oder?
Meine Frage ist nun, ist das ohne Probleme möglich? Gibt es noch Dinge hinter dem Vorhang, die die Vertrauensstellung regelt? Ist es bei einer späteren räumlichen Trennung der Server/Domänen besser eine Vertrauensstellung zu haben? Gibt es noch andere Faktoren zu bedenken?
Danke und Beste Grüße,
Bonk3rs
wir bekommen in unserer Firma demnächst einen neuen Server. Dieser ist für eine von uns neu gegründete Firma gedacht um die Firmen Datentechnisch voneinander zu trennen und um bei einer späteren eventuellen räumlichen Trennung der Firmen den neuen Server einfach in das neue Firmengebäude mitnehmen zu können.
Der neue Server wird folglich auch eine eigene Domäne eingerichtet bekommen und fungiert als Domänencontroller. Als Betriebssystem für den neuen Server bietet sich wegen des integrierten Exchange Servers SBS 2011 an. Dieser bietet allerdings bekannterweise keine Möglichkeit zur Vertrauensstellung.
Da aber nun ausgewählte Mitarbeiter auf beide Domänen zugreifen sollen können, frage ich mich, ob dazu zwingend eine Vertrauensstellung notwendig ist. Wenn ich nun in beiden Domänen Benutzerkonten mit den selben Namen und Passwörtern einrichte, sollte es doch beim Dateizugriff (Netzlaufwerke etc.) keine Probleme geben oder?
Meine Frage ist nun, ist das ohne Probleme möglich? Gibt es noch Dinge hinter dem Vorhang, die die Vertrauensstellung regelt? Ist es bei einer späteren räumlichen Trennung der Server/Domänen besser eine Vertrauensstellung zu haben? Gibt es noch andere Faktoren zu bedenken?
Danke und Beste Grüße,
Bonk3rs
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 208949
Url: https://administrator.de/forum/zugriff-auf-zwei-domaenen-vertrauensstellung-notwendig-208949.html
Ausgedruckt am: 04.05.2025 um 11:05 Uhr
16 Kommentare
Neuester Kommentar

Hallo,
nein - das wird so nicht gehen, da der Benutzer - wie Thomas schon sagte - nicht mit "Benutzernamen und Passwort", sondern mit benutzername@domain und dem Kennwort authentifiziert wird. Wobei, halt. Das ist auch nicht wirklich richtig.
Jeder Benutzer erhalt eine SID. Diese setzt sich aus der Domain und der Benutzer-ID zusammen. Im AD findet man das im Attribut-Editor unter ObjectSID. Die Freigaben bzw. Zugriffsrechte werden anhand dieser SID identifiziert und erteilt oder eben verweigert.
Sprich: Nein, einfach BN / PW reichen nicht.
Gruß,
Florian
EDIT: Achja.. und vergiss die Vertrauensstellung beim SBS! Das geht nicht!
nein - das wird so nicht gehen, da der Benutzer - wie Thomas schon sagte - nicht mit "Benutzernamen und Passwort", sondern mit benutzername@domain und dem Kennwort authentifiziert wird. Wobei, halt. Das ist auch nicht wirklich richtig.
Jeder Benutzer erhalt eine SID. Diese setzt sich aus der Domain und der Benutzer-ID zusammen. Im AD findet man das im Attribut-Editor unter ObjectSID. Die Freigaben bzw. Zugriffsrechte werden anhand dieser SID identifiziert und erteilt oder eben verweigert.
Sprich: Nein, einfach BN / PW reichen nicht.
Gruß,
Florian
EDIT: Achja.. und vergiss die Vertrauensstellung beim SBS! Das geht nicht!
Moin.
Da aber nun ausgewählte Mitarbeiter auf beide Domänen zugreifen sollen können, frage ich mich, ob dazu zwingend eine Vertrauensstellung notwendig ist.
Du kannst Netzlaufwerke auch ohne Vertrauensstellung verbinden, sofern der für die Verbindung genutzte User das Recht hat, sich "an allen Computern" anzumelden - dieses Recht reicht nämlich über die Grenzen der eigenen Domäne hinweg.Wenn ich nun in beiden Domänen Benutzerkonten mit den selben Namen und Passwörtern einrichte, sollte es doch beim Dateizugriff (Netzlaufwerke etc.) keine Probleme geben oder?
Nein, das geht nicht, andere SID ind der ACL.
@97872: Sorry, dass du das mit der Vertrauensstellung beim SBS ausgeschlossen hast, habe ich dezent überlesen.
Also wenn ich mich nicht irre, regelt die Vertrauensstellung die Authentifizierung der Konten zwischen den DCs.
Wenn ich dich jetzt richtig verstehe, möchtest du 2 ADs parallel pflegen.
Sprich: Max Meier wird in Dom1.local und in Dom2.local mit den gleichen Passwörtern eingerichtet - korrekt?
Max Meier meldet sich nun mit seinem Benutzernamen max.meier@dom1.local an seiner Workstation an. Nun öffnen er die Netzwerk-Freigabe und bekommt den Kennwort-Dialog auf einem Server aus Dom2. Hier tippt er ein: max.meier@dom2.local - gefolgt von seinem Kennwort.
Meinst du das so?
Wenn ja - das geht - ist zwar keine schöne Lösung, aber das geht. Es muss nur der Zusatz @dom.... dahinter.
Gruß,
Florian
Also wenn ich mich nicht irre, regelt die Vertrauensstellung die Authentifizierung der Konten zwischen den DCs.
Wenn ich dich jetzt richtig verstehe, möchtest du 2 ADs parallel pflegen.
Sprich: Max Meier wird in Dom1.local und in Dom2.local mit den gleichen Passwörtern eingerichtet - korrekt?
Max Meier meldet sich nun mit seinem Benutzernamen max.meier@dom1.local an seiner Workstation an. Nun öffnen er die Netzwerk-Freigabe und bekommt den Kennwort-Dialog auf einem Server aus Dom2. Hier tippt er ein: max.meier@dom2.local - gefolgt von seinem Kennwort.
Meinst du das so?
Wenn ja - das geht - ist zwar keine schöne Lösung, aber das geht. Es muss nur der Zusatz @dom.... dahinter.
Gruß,
Florian
Hallo,
Schaust du hier SBS 2003 fährt einfach runter - SBCore-Meldung 1001
(DHCP ist nicht zwingend für eine Domäme notwendig oder muss gar auf einen DC laufen - ist aber leichter wenn ein SBS DHCP stellt
)
Den DHCP darf es in deinem IP Netz nur einmal geben, ausser du hast Übung darin mehr als ein DHCP in einem IP Netz einzurichten und am laufen zu halten (nicht ganz trivial). Dann hast du 2 DNS am laufen usw....
Warum nicht ein seperates Netz mit eigenem IP Netz und diese per Router sauber verbunden. Dann ein NAS wo beide ihrer Daten ablegen. Und diese Netze per VLAN auf den Switche(s) eingebunden oder halt getrennte Switche.
Vorteil, du musst jetzt schon eine andere IP verwwenden. Das kommt dir zugute wenn dieses SBS Netz mal den Standort wechselt (wie ja auch vorgesehen). Dann hast du kein Hudel mit DC (SBS) und IP Änderung. Ebenso kannst du auf beiden den DHCP verwenden. Ein späteres Verwalten des Netzes per VPN wird dadurch zum kinderspiel. Ein Blech mit 2 Netzwerkkarten und ein Linux, Monowall, pfSense, Sophos UTM oder was immer und dein Router muss nur noch konfiguriert werden. oder ein Hardware Router für 30 EUR aus dem baumarkt tuts auch. Ob die Benutzer aus getrennten Domänen nun per Router direkt oder über DSL reden macht nur etwas in der Geschwindigkeit aus. Brauchst später nur den SBS zum anderen Standort schaffen, Standort - Standort VPN Einrichten und alle können wieder genauso Arbeiten wie zuvor. Und deine Verwaltung des anderen Standort ändert sich ebenfalls nicht weiter, bis auf das VPN.

Gruß,
Peter
Zitat von @97872:
Ist das ein Problem?
Nicht zwingend, es kann aber ein eklatantes und bösartiges werdenIst das ein Problem?
Domänendienste auf dem neuen würden natürlich deaktiviert sein
Das lässt ein SBS nicht zu. Ein SBS muss zwingend DC sein. Dazu sind aber grad die Domänendienste unerläßlich.Den DHCP darf es in deinem IP Netz nur einmal geben, ausser du hast Übung darin mehr als ein DHCP in einem IP Netz einzurichten und am laufen zu halten (nicht ganz trivial). Dann hast du 2 DNS am laufen usw....
Warum nicht ein seperates Netz mit eigenem IP Netz und diese per Router sauber verbunden. Dann ein NAS wo beide ihrer Daten ablegen. Und diese Netze per VLAN auf den Switche(s) eingebunden oder halt getrennte Switche.
Vorteil, du musst jetzt schon eine andere IP verwwenden. Das kommt dir zugute wenn dieses SBS Netz mal den Standort wechselt (wie ja auch vorgesehen). Dann hast du kein Hudel mit DC (SBS) und IP Änderung. Ebenso kannst du auf beiden den DHCP verwenden. Ein späteres Verwalten des Netzes per VPN wird dadurch zum kinderspiel. Ein Blech mit 2 Netzwerkkarten und ein Linux, Monowall, pfSense, Sophos UTM oder was immer und dein Router muss nur noch konfiguriert werden. oder ein Hardware Router für 30 EUR aus dem baumarkt tuts auch. Ob die Benutzer aus getrennten Domänen nun per Router direkt oder über DSL reden macht nur etwas in der Geschwindigkeit aus. Brauchst später nur den SBS zum anderen Standort schaffen, Standort - Standort VPN Einrichten und alle können wieder genauso Arbeiten wie zuvor. Und deine Verwaltung des anderen Standort ändert sich ebenfalls nicht weiter, bis auf das VPN.
sind zwei SBS kein Problem solange
die niemals, und sei es aus Versehen, miteinander Flüstern und Mau Mau spielen. Einer verliert und fährt runterGruß,
Peter
Hallo,
bedeutet doch du kannst, aber du solltest nicht. Alternative mit weniger Kopfschmerzen und Schlaflosen Nächte habe ich dir ja mal eine aufgezeigt indem du die beiden Streithähne durch einen einfachen Router trennst und sogar Einrichtungsprobleme der Zukunft jetzt in der Gegenwart schon vermeidest. Sollten deine zwei SBS auf einem Draht in der selben IP Broadcastdomäne mal ein Schluckauf haben nach einem Update, Stromausfall oder sonstwas, zerhaust du dir beide Domänen.
Technisch geht es, aber ob es Sinnvoll ist?

Und noch ein kleiner Hinweis zum SBS. Es gibt dort 5 goldene Grundregeln:
1. Nutze die Asisstenten
2. Nutze die Asisstenten
3. Nutze die Asisstenten
4. Nutze die Asisstenten
5. Nutze die Asisstenten
Danach kannst du sofern Fachwissen eines Server OS, IIS, AD, DNS, DHCP, Exchange, Sharepoint, RWW, OWA, OMA, Outlook Anywhere, EAS usw. selbst Hand anlegen und Einstellungen verändern
Die Asisstenten überschreiben diese sowieso wieder (ungefragt)
Gruß,
Peter
Zitat von @97872:
OK, noch mal zur Nachfrage, da du da nicht genau drauf eingegangen bist:
Doch bin ich.OK, noch mal zur Nachfrage, da du da nicht genau drauf eingegangen bist:
Nicht zwingend, es kann aber ein eklatantes und bösartiges werden
Technisch geht es, aber ob es Sinnvoll ist?
(Mit Domänendiensten meinte ich natürlich nicht DC
Das meint aber jeder der sich ein wenig mit Domänen und AD auskenntUnd noch ein kleiner Hinweis zum SBS. Es gibt dort 5 goldene Grundregeln:
1. Nutze die Asisstenten
2. Nutze die Asisstenten
3. Nutze die Asisstenten
4. Nutze die Asisstenten
5. Nutze die Asisstenten
Danach kannst du sofern Fachwissen eines Server OS, IIS, AD, DNS, DHCP, Exchange, Sharepoint, RWW, OWA, OMA, Outlook Anywhere, EAS usw. selbst Hand anlegen und Einstellungen verändern
Gruß,
Peter