Remove From My Forums

ExtADSch bei einer nicht getrusteten Domäne

Allgemeine Diskussion
0

Anmelden
Hallo zusammen,

ich habe 2 Domänen die über keinen Trust verfügen. Ich habe jetzt in der einen Domäne wo der SCCM 2012 R2 installiert ist unter "Active Directory Forests" die zweite Domäne hinzugefügt. Im Moment ist der Status "Active Directory Schema not Extended". Dann habe ich das Schema in der zweiten Domäne erweitert. Da die zweite Domäne eine Root-Domäne ist ohne PC- oder Benutzerobjekte und in der Subdomäne dann die ganzen Objekte liegen habe ich die Root-Domäne erweitert( Da man das Tool auf dem Schema-Master ausführen muss).

Nun sind mir 2 Fragen gekommen.

1) Wie kann ich den SCCM-Site-Server der anderen Domäne auf dem "System Management" Container berechtigen? Ich muss ja das Ganze bei den "Proberties" aussuchen können aber die zweite Domäne ist ja nicht da weil die sich nicht kennen.

2) Muss ich den "System Management"-Container dann nur in der Root-Domäne erstellen oder auch in der Subdomäne?

Und im Moment steht auch noch unter "Active Directory Forests der Status auf "Active Directory Schema not Extended" obwohl das Schema erweitert ist.

Vielen Dank für Eure Hilfe im Voraus.

Viele Grüße

Thomas
- Bearbeitet Wagner Thomas Montag, 10. Februar 2014 22:09
- Typ geändert Raul TalmaciuMicrosoft contingent staff Mittwoch, 5. März 2014 07:49 Warten auf Feedback
Montag, 10. Februar 2014 22:08

Antworten

|

Zitieren

Alle Antworten

0

Anmelden
1) dazu braucht es einen publishing / discovery Account (logischerweise aus der Zieldomain)

2) Container dort, wo die Clients sind
Torsten Meringer | http://www.mssccmfaq.de
Mittwoch, 12. Februar 2014 13:10

Antworten

|

Zitieren

Beantworter
0

Anmelden
Hallo Torsten,

wenn in der Domäne A mein SCMM steht und ich den System Management-Container in der Subdomäne des Forest B anlege, wie kann ich dann den Account aus Domäne A auf dem Container berechtigen? Ich kann ja nur die Accounts nehmen die mir angezeigt werden, also nur aus Domäne bzw. Forerst B.

Das ist gerade das Problem wo ich hänge. Oder habe ich da was falsch verstanden? Ein Trust zwischen den Domänen kommt auf keinen Fall in Betracht.

Vielen Dank für Deine Hilfe.

Viele Grüße

Thomas
- Bearbeitet Wagner Thomas Samstag, 15. Februar 2014 20:20
Samstag, 15. Februar 2014 20:20

Antworten

|

Zitieren
0

Anmelden

, wie kann ich dann den Account aus Domäne A auf dem Container berechtigen? Ich kann ja nur die Accounts nehmen die mir angezeigt werden, also nur aus Domäne bzw. Forerst B.

Siehe Punkt 1 meiner letzten Antwort, bzw hast Du doch selbst die Lösung schon genannt. Du mußt einen Account aus der Zieldomäne verwenden.
Torsten Meringer | http://www.mssccmfaq.de

Samstag, 15. Februar 2014 21:55

Antworten

|

Zitieren

Beantworter
0

Anmelden
Hallo Torsten,

ich kann die SCCM-Domäne von der remote-Domäne pingen (Eintrag in die Hosts-Datei).

Ich kann aber leider den SCCM01 (SCCM-Site Server) nicht auf dem System Management Container der Remptedomäne berechtigen da ich den SCCM01 nicht aus der Liste aussuchen kann da mir nur die Computeraccounts aus der Remotedomain vorgeschlagen werden. Anders kann ich den SCCM ja nicht "händisch" eintragen, oder kennst Du da einen Trick?

Muss ich in der Remotedomäne die Root-Domäne angeben oder kann ich auch die Subdomäne direkt angeben?

Im Internet habe ich leider auch nichts gefunden.

Vielen Dank für Deine Hilfe.

Viele Grüße

Thomas
- Bearbeitet Wagner Thomas Mittwoch, 19. Februar 2014 22:39
Mittwoch, 19. Februar 2014 22:28

Antworten

|

Zitieren
0

Anmelden

Bei untrusted forests kannst Du den Account des Site Servers logischerweise nicht verwenden. Du musst einen Account aus dem Forest nehmen, in den publiziert werden soll:

http://technet.microsoft.com/en-us/library/6a0e2b40-672f-45e1-a12d-6d403ab39780#BKMK_ADForestDisc

http://technet.microsoft.com/en-us/library/hh696542.aspx

Torsten Meringer | http://www.mssccmfaq.de

Donnerstag, 20. Februar 2014 00:50

Antworten

|

Zitieren

Beantworter
0

Anmelden
Hallo Torsten,

wenn ich den Artikel richtig verstehe lege ich in der Remotedomäne einen Account an mit dem sich der SCCM dann in der Remotedomäne anmeldet. Den hab ich gleich zum Domänenadmin gemacht. Dieser Account heißt bei mir SCCM. Dem Account SCCM gebe ich dann Vollzugriff auf diesen und alle Unterordner für System Management. Muss ich dann sonst noch was machen? Ich sehe leider die Clients noch nicht obwohl ein Verbindungstest unter "Administration / Active Directory Forests" erfolgreich ist.

Inn welcher Form muss ich die Domäne denn angeben?

Ich gebe es so an: LDAP://DC03.subdomain.rootdomain.local/DC=subdomain,DC=rootdomain,DC=local

Muss ich eine bestimmte OU angeben? Oder den Container wo die Clients sind?

Vielen Dank für Hilfe.

Viele Grüße

Thomas
- Bearbeitet Wagner Thomas Dienstag, 25. Februar 2014 13:24
Montag, 24. Februar 2014 23:55

Antworten

|

Zitieren
0

Anmelden

Inn welcher Form muss ich die Domäne denn angeben?

Um welche Option bzw Parameter handelt es sich denn?
Torsten Meringer | http://www.mssccmfaq.de

Dienstag, 25. Februar 2014 17:43

Antworten

|

Zitieren

Beantworter
0

Anmelden

Hallo Torsten,

ich gebe das zum einen unter "Discovery Methods / Active Directory System Discovery" an und zum zweiten beim Punkt "Active Directory Forests".

Ist es einfacher wenn ich einen Verteilpunkt in dieser Domäne installiere? Es sollen dort ca. 50 Server und 70 Clients mit SCEP versorgt werden und evtl. mal mit Software.

Viele Grüße

Thomas

Mittwoch, 26. Februar 2014 09:02

Antworten

|

Zitieren
0

Anmelden

subdomain.domain.com

Ein weiterer DP bringt in diesem Fall erst einmal nichts. Ggfs kannst Du die Clients auch einfach manuell installieren (mit entsprechenden Parametern) und kannst so auf das Publishing verzichten, ohne aber direkt die genaue Umgebung zu kennen (zB Firewalls uns DNS etc) kommt man da theoretisch nicht weiter.
Torsten Meringer | http://www.mssccmfaq.de

Mittwoch, 26. Februar 2014 19:03

Antworten

|

Zitieren

Beantworter
0

Anmelden

Hallo Torsten,

welche Ports müsste ich denn auf der Firewall öffnen?

Viele Grüße

Thomas

Donnerstag, 27. Februar 2014 16:07

Antworten

|

Zitieren
0

Anmelden

Ports: http://technet.microsoft.com/en-us/library/hh427328.aspx Ich hab die lange Liste nicht extra durchsucht, würde aber auf LDAP tippen. An der Firewall solltest Du ja sehen, ob etwas geblockt worden ist.
Ausserdem muss natürlich auch die Namensauflösung klappen.
Torsten Meringer | http://www.mssccmfaq.de

Donnerstag, 27. Februar 2014 16:20

Antworten

|

Zitieren

Beantworter