none
Benutzer Authentifizierung an einem TS (in der Root Domäne) aus einer Subdomäne RRS feed

  • Frage

  • Hallo,

    Ich benötige mal eure Hilfe zum Thema Authentifizierung.

    Bei mir ergibt sich folgendes Problem: Benutzer können Sich nur anmelden wenn der "BackupDC der Subdomäne" online ist.

    Unsere Domäenstruktur:

    Alle DC's 2003R2;

    Alle DC's haben Globalen Katalog;

    Die Terminalserver sind in der Root Domäne "test.local"

    In den Subdomänen (subdomäne1.test.local, usw,..)) sind jeweils 1 DC und in einem Backupnetz ist ein weitere DC für die jeweiligen Domänen. (ebenfalls alles 2003R2 und GC)

    Die Anmeldung erfolgt nur erfolgreich wenn der BackupDC online ist.

    Ansonsten kommt eine Fehlermeldung.

    Erst mal allgemeine Frage Zur Authentifizierung:

    Werden die Anmeldeinformationen der Benutzer auf allen Domänencontrollern gespeichert? also die der Subdomänenbenutzer auch auf den Domänencontrollern (globalen Katalog Servern) der test.local?

    Falls nein, dann ist mein Problem schon gelöst, da die Terminalserver Firewall-technisch nicht in die Netze der Subdomäne kommen sondern nur in die des jeweiligen Backup-Netzes. Besteht die Möglichkeit dann die AnmeldeDaten einer speziellen Gruppe dort zu hinterlegen?

    _______________________________________

    _______________________________________

    Nachtrag der Fehlermeldung:

    TS ist ein Ws2k8r2 Ent.

    Es kommt noch das "Welcome"

    Anschließend kommt:

    The specified Domain either does not exist or could not be contacted


    • Bearbeitet Torty Donnerstag, 9. Januar 2014 11:13
    Dienstag, 7. Januar 2014 15:42

Antworten

  • > Ansonsten kommt eine Fehlermeldung.
     
    Und warum postest Du die nicht gleich mit?
     
    > Werden die Anmeldeinformationen der Benutzer auf allen
    > Domänencontrollern gespeichert? also die der Subdomänenbenutzer auch auf
    > den Domänencontrollern (globalen Katalog Servern) der test.local?
     
    Nein. Authentifizieren (genauer "ein TGT ausstellen") kann nur ein DC
    der Benutzerdomäne.
     
    > Besteht die Möglichkeit dann die
    > AnmeldeDaten einer speziellen Gruppe dort zu hinterlegen?
     
    Nein. Ein Account ist immer eindeutig, Du kannst nicht "quasi" einen
    User "replizieren". Korrigiere Dein Routing und Deine Firewalleinstellungen.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    • Als Antwort markiert Torty Donnerstag, 9. Januar 2014 11:29
    Donnerstag, 9. Januar 2014 10:39

Alle Antworten

  • Hallo,

    Ich kann Dich hier weiterhelfen, damit
    müssen wir einen privaten Kommunikationskanal erstellen. Dieser nutzt auch um
    zusätzliche Informationen zu sammeln. Kannst Du bitte eine E-Mail an
    dieser 
    E-Mail-Adresse mit Deinem Namen, Deine E-Mail Adresse und Telefonnummer
    senden, damit wir Dich erreichen können?

     

    Gruss,

    Raul



    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip„IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.


    Mittwoch, 8. Januar 2014 14:18
  • > Ansonsten kommt eine Fehlermeldung.
     
    Und warum postest Du die nicht gleich mit?
     
    > Werden die Anmeldeinformationen der Benutzer auf allen
    > Domänencontrollern gespeichert? also die der Subdomänenbenutzer auch auf
    > den Domänencontrollern (globalen Katalog Servern) der test.local?
     
    Nein. Authentifizieren (genauer "ein TGT ausstellen") kann nur ein DC
    der Benutzerdomäne.
     
    > Besteht die Möglichkeit dann die
    > AnmeldeDaten einer speziellen Gruppe dort zu hinterlegen?
     
    Nein. Ein Account ist immer eindeutig, Du kannst nicht "quasi" einen
    User "replizieren". Korrigiere Dein Routing und Deine Firewalleinstellungen.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    • Als Antwort markiert Torty Donnerstag, 9. Januar 2014 11:29
    Donnerstag, 9. Januar 2014 10:39
  • Hi Martin,

    danke für die Information mit dem TGT.

    und Sorry, die Fehlermeldung hab' ich irgendwie vergessen.

    Fehlermeldung ist nun eingetragen, auch wenn das Problem so nun gelöst werden konnte.

    Das mit dem Ticket Granting Ticket wusste ich so nicht, war der Meinung jeder DC, der auch globaler Katalog ist, authentifizieren kann, und nicht nur ein DC aus der Domäne aus der der Benutzer stammt. Ich dachte an eine Universelle Gruppe die die Terminalserverbenutzer beinhaltet, diese werden ja auf dem GC mit "hinterlegt".

    Ich habe sozusagen eine L_TerminalServer, eine U_TerminalServer und diese U beinhaltet alle G_Terminalserver aus den Subdomänen. Aber so funktionierte es ja nicht. Ich werde mal suchen ob ich etwas von MS zum Thema Authentifizierung über Domänengrenzen hinweg finde damit ich dies auch belegen kann.

    (Falls jemand dazu einen Link hat steht es ihm frei diesen mir noch Mitzuteilen ;-) ) 

    Meine Problemlösung war dann dank dem Hinweis von Martin das Routing anzupassen.

    Die zur Authentifizierung benötigten Ports konnte ja ich schnell ausfindig machen,

    http://technet.microsoft.com/de-de/library/dd772723(v=ws.10).aspx

    Der Terminalserver kommt nun zu allen DCs und Anmeldung klappt.

    Vielen Dank, Problem gelöst

    Grüße

    Frank

    Donnerstag, 9. Januar 2014 12:04
  • > an eine Universelle Gruppe die die Terminalserverbenutzer beinhaltet,
    > diese werden ja auf dem GC mit "hinterlegt".
     
    Nur die Gruppenmitgliedschaft, nicht der Account selbst. Insbesondere
    nicht das Kennwort :)
     
    > zum Thema Authentifizierung über Domänengrenzen hinweg finde damit ich
    > dies auch belegen kann.
     
    Da kann ich helfen :)
     
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Donnerstag, 9. Januar 2014 12:27