Remove From My Forums

Domain Trust durch Firewall (mehrere DCs, aber nicht alle im Haus)

Frage
0

Anmelden
Hallo,

wir haben in der Firma ein Testnetzwerk mit einer Testdomain (test.local) und einem PDC dafür. Nun soll ein One-Way Trust von unserer Firmen Domain zur Testdomain eingerichtet werden. (Damit die Firmenuser sich im Testnetzwerk anmelden können.) (Alles W2k8 R2 Server + Domains)

Auf dem PDC der Testdomains ist eine DNS Stubzone der Firmendomain eingerichtet.

Zwischen Testnetzwerk und FirmenIT ist eine Firewall. Die von Microsoft gelisteten Ports sind alle eingerichtet.

In der Firmendomain gibt es ca. 10 DC's nur ein paar davon sind (der PDC auch) sind im Haus. Die andern auf der Weltkugel verstreut (diese sind aber wegen der Firewall nicht erreichbar).

Wenn ich jetzt einen Trust einrichten möchte bekomme ich die Fehlermeldung, dass die Domain nicht gefunden wird.

NSLOOKUP funktioniert und ich bekomm alle DCs der Firmendomain gelistet.

Kann es sein, dass er versucht alle DCs zu erreichen bevor er einen Trust machen kann? Kann man das irgendwie an 1-3 DCs fest binden? So wie das bei den Clients ja auch durch die Konfiguration von Sites gemacht wird.

Wäre super wenn Ihr mir da helfen könntet!

Viele Grüße

Stülpi
- Bearbeitet stuelpi Donnerstag, 12. April 2012 11:45
- Typ geändert Raul TalmaciuMicrosoft contingent staff Donnerstag, 19. April 2012 09:42 Warten auf Feedback
- Typ geändert Raul TalmaciuMicrosoft contingent staff Mittwoch, 2. Mai 2012 08:37
Donnerstag, 12. April 2012 11:40

Antworten

|

Zitieren

Antworten

1

Anmelden
Hi,

mittlerweile funktioniert es. Es lag letztendlich an einem fehlendem UDP Forward in der Firewall.

Danke euch!

Viele Grüße
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Mittwoch, 2. Mai 2012 08:38
Montag, 30. April 2012 10:50

Antworten

|

Zitieren

Alle Antworten

0

Anmelden

Hallo,

DNS ist doch sicher auch im Firmennetz für die Testdomäne eingerichtet, oder habe ich das falsch verstanden?

Schau bitte mal in den folgenden Beitrag http://social.technet.microsoft.com/Forums/en-IE/winserverDS/thread/28f8884f-c073-41e0-b2ee-0dbb2dff5a1f zu dem Thema des Ausschließens.

Für die Firewall nur zur Sicherheit nochmal mit http://social.technet.microsoft.com/wiki/contents/articles/584.active-directory-replication-over-firewalls.aspx und http://support.microsoft.com/kb/179442 prüfen.
Best regards

Meinolf Weber
MVP, MCP, MCTS
Microsoft MVP - Directory Services
My Blog: http://msmvps.com/blogs/mweber/

Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

Donnerstag, 12. April 2012 11:59

Antworten

|

Zitieren
0

Anmelden

Hi Meinolf,

du meinst ob der Testdomain DNS auch in der Firmendomain eingetragen ist? Nein glaube das ist noch nicht passiert. In welcher Form muss er das?

Im bezug auf den SRV-Wert, sind bei uns alle DCs scheinbar gleich gewichtet. Kann ich, ohne die FirmenIT, zu beeinflussen die andern DCs der anderen Sites irgendwie unterdrücken?

Viele Grüße

Lukas

Donnerstag, 12. April 2012 13:18

Antworten

|

Zitieren
0

Anmelden

Hallo,

um eine Vertrauensstellung aufzubauen muss in beiden Domänen DNS konfiguriert werden um die andere "Seite" finden zu können. Somit muss auch in der Firmendomäne z.B. eine Stubzone eingerichtet werden.
Best regards

Meinolf Weber
MVP, MCP, MCTS
Microsoft MVP - Directory Services
My Blog: http://msmvps.com/blogs/mweber/

Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

Donnerstag, 12. April 2012 13:40

Antworten

|

Zitieren
0

Anmelden

Hi,

ja klar, DNS ist auf beiden konfiguriert.

Gruß

Lukas

Donnerstag, 12. April 2012 13:42

Antworten

|

Zitieren
0

Anmelden

Würde es Sinn machen bzw. funktionieren nur für den Trust die Firewall zu allen DCs freizuschalten, und danach wieder nur auf die inHouse DCs zu beschränken?

Klappt das?

Wie kann ich am einfachstem dem TestDC sagen welche DCs aus der FirmenIT/Site er nehmen kann? Reicht es die SRV Priority bei denen von 0 auf 1 zu setzen?

Bevorzugen die Clients die SRV Priority oder die zugehörige Site?

Die IT möchte ungern das der TestPDC ständigt mit allen anderen weltweiten DCs "spricht"...

Viele Grüße,

Lukas

Donnerstag, 12. April 2012 14:50

Antworten

|

Zitieren
0

Anmelden
Hallo,

ich bin nicht sicher ob dieser "einfache" Weg funktioniert, da über DNS ja ein DC gesucht wird und wenn die Rückantwort ein anderer ist als die in der Firewall freigegeben wird keine Verbindung zustande kommen. Probieren kannst Du es natürlich gerne, somit wissen wir das definitv.

Eine andere Option wie die schon im anderen Artikel beschriebene ist mir nicht bekannt.

Für Weight und Priorität gilt:

Es werden die DNS-SRV-Eintrag gewählt, dessen Priorität durch die kleinste Zahl und dessen Gewichtung durch die größte Zahl gekennzeichnet sind.

http://technet.microsoft.com/de-de/library/cc778225(v=ws.10).aspx und http://technet.microsoft.com/de-de/library/cc781155(v=ws.10).aspx

Best regards

Meinolf Weber
MVP, MCP, MCTS
Microsoft MVP - Directory Services
My Blog: http://msmvps.com/blogs/mweber/

Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.
- Bearbeitet Meinolf Weber Freitag, 13. April 2012 06:44
Freitag, 13. April 2012 06:34

Antworten

|

Zitieren
0

Anmelden

Hallo Lukas,

ist die Thematik geklärt? Falls die Antworten Dir geholfen haben, bitte auch diese markieren, so dass auch andere davon profitieren können.

Gruss,
Raul
Raul Talmaciu, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

Dienstag, 17. April 2012 14:40

Antworten

|

Zitieren
0

Anmelden

Hi,

@Raul - Leider funktioniert es noch nicht. Werde es dann sofort melden. Vielleicht bekommen wir es heute noch hin.

Gruß

Lukas

Mittwoch, 18. April 2012 06:25

Antworten

|

Zitieren
1

Anmelden
Hi,

mittlerweile funktioniert es. Es lag letztendlich an einem fehlendem UDP Forward in der Firewall.

Danke euch!

Viele Grüße
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Mittwoch, 2. Mai 2012 08:38
Montag, 30. April 2012 10:50

Antworten

|

Zitieren
0

Anmelden

Hello stuelpi,

Gut zu hören das Du es gefunden hast. Danke für die Info. :-)

Best regards

Meinolf Weber

Disclaimer: This posting is provided "AS IS" with no warranties, and confers

no rights.

** Please do NOT email, only reply to the Forum

** Send from Omea Reader 2.2

Best regards

Meinolf Weber
MVP, MCP, MCTS
Microsoft MVP - Directory Services
My Blog: http://msmvps.com/blogs/mweber/

Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

Montag, 30. April 2012 11:34

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

Domain Trust durch Firewall (mehrere DCs, aber nicht alle im Haus)

Frage

Antworten

Alle Antworten