none
Domain Trust - GPO Terminalserver

    Allgemeine Diskussion

  • Hi zusammen!

    seit Tagen schlage ich mich nun schon mit meinem Problem herum und komme einfach nicht weiter, x verschiedene Recherchen und Lösungsversuche haben mich bisher leider nur im Kreis geführt. Da ich langsam am verzweifeln bin, hoffe ich innständig, dass Ihr mir helfen könnt...

    Folgende Problemstellung:
    Domains: Domain A, Domain B, Domain C (jeweils mit zwei DC's, Domain A: 2x 2008 R2, Domain B: 1x 2003, 1x 2008 R2, Domain B: 2x2008 R2)
    In Domain B steht ein Terminalserver, an dem sich von Domain A Benutzer anmelden. Zwischen Domain A und Domain B besteht ein externer bidirektionaler tranistiver Trust. Domain C hat mit Domain B ebenfalls einen bidirektionalen transitiven Trust. 

    Die Anmeldung mit den Logindaten aus Domain A am Terminalserver in Domain B funktioniert. Hier fängt nun das eigentliche Problem an. Benutzer aus Domain A ziehen die GPO's für den Terminalserver nicht. In der GPO ist "Gesamtstrukturübergreifende Benutzerrichtlinien und servergespeicherte Benutzerprofile zulassen" aktiviert. Benutzeranmeldungen aus Domain C funktionierten mit GPO's perfekt. 

    Unterschiede zwischen Domain A und C:
    Domain A ist über ein Site to Site VPN mit 10Mbit SDSL angebunden.
    Domain A befindet sich in einem anderen Subnet (Domain B und C teilen sich eines)

    Was funktioniert:
    Wenn in den GPO's in Domain B ein Benutzer aus Domain A hinzugefügt wird, wird dieser korrekt aufgelöst.
    FQDN's werden in Domain A und Domain B gegenseitig korrekt aufgelöst, Ping ist möglich.
    Benutzeranmeldung von Domain A an Domain B funktioniert.
    Dateizugriff Shares

    Fehlermeldung auf dem Terminalserver:
    Meldung bei gpupdate:
    Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Benutzername konnte nicht
    aufgelöst werden. Dies kann mindestens eine der folgenden Ursachen haben:
    a) Fehler bei der Namensauflösung mit dem aktuellen Domänencontroller.
    b) Active Directory-Replikationswartezeit (ein auf einem anderen Domänencontroll
    er erstelltes Konto hat nicht auf dem aktuellen Domänencontroller repliziert).

    gpresult /r:
    INFO: Der Benutzer hat keine RSoP-Daten.

    Was habe ich bisher versucht:
    Trust auf verschiedene Weisen neu erstellt, DNS in Domain A komplett neu gemacht, Virenscanner deaktiviert, lokale Firewalls deaktiviert, dcdiag (scheint alles in Ordnung zu sein)

    Ich geh' echt am Stock :-(

    P.S.: Ich war' mir jetzt nicht ganz sicher ob die Frage in "Active Directory", "Gruppenrichtlinien" oder "Windows Server" gehört...

    Dienstag, 9. Juli 2013 14:11

Alle Antworten

  • Hi zusammen!

    seit Tagen schlage ich mich nun schon mit meinem Problem herum und komme einfach nicht weiter, x verschiedene Recherchen und Lösungsversuche haben mich bisher leider nur im Kreis geführt. Da ich langsam am verzweifeln bin, hoffe ich innständig, dass Ihr mir helfen könnt...

    Folgende Problemstellung:
    Domains: Domain A, Domain B, Domain C (jeweils mit zwei DC's, Domain A: 2x 2008 R2, Domain B: 1x 2003, 1x 2008 R2, Domain B: 2x2008 R2)
    In Domain B steht ein Terminalserver, an dem sich von Domain A Benutzer anmelden. Zwischen Domain A und Domain B besteht ein externer bidirektionaler tranistiver Trust. Domain C hat mit Domain B ebenfalls einen bidirektionalen transitiven Trust. 

    Die Anmeldung mit den Logindaten aus Domain A am Terminalserver in Domain B funktioniert. Hier fängt nun das eigentliche Problem an. Benutzer aus Domain A ziehen die GPO's für den Terminalserver nicht. In der GPO ist "Gesamtstrukturübergreifende Benutzerrichtlinien und servergespeicherte Benutzerprofile zulassen" aktiviert. Benutzeranmeldungen aus Domain C funktionierten mit GPO's perfekt. 

    Unterschiede zwischen Domain A und C:
    Domain A ist über ein Site to Site VPN mit 10Mbit SDSL angebunden.
    Domain A befindet sich in einem anderen Subnet (Domain B und C teilen sich eines)

    Was funktioniert:
    Wenn in den GPO's in Domain B ein Benutzer aus Domain A hinzugefügt wird, wird dieser korrekt aufgelöst.
    FQDN's werden in Domain A und Domain B gegenseitig korrekt aufgelöst, Ping ist möglich.
    Benutzeranmeldung von Domain A an Domain B funktioniert.
    Dateizugriff Shares

    Fehlermeldung auf dem Terminalserver:
    Meldung bei gpupdate:
    Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Benutzername konnte nicht
    aufgelöst werden. Dies kann mindestens eine der folgenden Ursachen haben:
    a) Fehler bei der Namensauflösung mit dem aktuellen Domänencontroller.
    b) Active Directory-Replikationswartezeit (ein auf einem anderen Domänencontroll
    er erstelltes Konto hat nicht auf dem aktuellen Domänencontroller repliziert).

    gpresult /r:
    INFO: Der Benutzer hat keine RSoP-Daten.

    Was habe ich bisher versucht:
    Trust auf verschiedene Weisen neu erstellt, DNS in Domain A komplett neu gemacht, Virenscanner deaktiviert, lokale Firewalls deaktiviert, dcdiag (scheint alles in Ordnung zu sein)

    Ich geh' echt am Stock :-(

    P.S.: Ich war' mir jetzt nicht ganz sicher ob die Frage in "Active Directory", "Gruppenrichtlinien" oder "Windows Server" gehört...

    Dienstag, 9. Juli 2013 14:05
  • Hallo,

    Funktioniert die Anwendung der Computereinstellung und Benutzereinstellungen nicht?

    Was spricht das gpsvc.log?

    Verwendest du Loopback auf dem Terminalserver?

    Kau am besten einmal Teil 2 durch:

    http://matthiaswolf.blogspot.de/2013/04/der-groe-group-policy-troubleshooting_5.html

    Das sollte dir bei der Diagnose helfen.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Dienstag, 9. Juli 2013 15:27
  • Bitte folgenden Aktionsplan als betroffener Benutzer mit temp. lokalen Administrator-Rechten auf dem betroffenen Terminal Server zur Generierung von Analyse-Daten (hier Network-Trace) ausführen und die so gewonnen Daten (hier mittels Network Monitor) auswerten - ggf. muss auf den zugehörigen Domain Controllern aus Domäne A und B ebenfalls ein Network-Trace gleichzeitig gestartet werden, um so weitere Informationen bzgl. dem Fehlverhalten zu generieren:

    klist purge
    klist –li 0x3e7 purge
    ipconfig /flushdns
    NBTStat -R
    dfsutil /pktflush
    dfsutil /spcflush

    netsh trace start capture=yes
    ping -n 1 -l 111 8.8.8.8

    gpupdate /force

    ping -n 1 -l 222 8.8.8.8
    netsh trace stop

    Hintergrundinformationen hierzu:

    Kerberos for the Busy Admin
    http://blogs.technet.com/b/askds/archive/2008/03/06/kerberos-for-the-busy-admin.aspx

    How the Kerberos Version 5 Authentication Protocol Works
    http://technet.microsoft.com/en-us/library/cc772815.aspx

    How Domain and Forest Trusts Work
    http://technet.microsoft.com/en-us/library/cc773178.aspx

    Network Monitor 3.4 Downloads
    http://blogs.technet.com/b/netmon/p/downloads.aspx

    Netsh Commands for Network Trace in Windows Server 2008 R2 and Windows 7
    http://technet.microsoft.com/en-us/library/dd878517.aspx

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Mittwoch, 10. Juli 2013 10:34