Hallo,
ich habe zwei getrennte AD Domänen (DOM A und B). Zwischen diesen ist ein beidseitiger Trust aufgebaut.
Der Zugriff auf Ressourcen in der jeweilig anderen Domain funktioniert wunderbar.
Jetzt soll ein Nutzer aus der Domäne A sich an einem PC der Domäne B anmelden. Auch das funktioniert ohne Probleme.
Allerdings führt er das Login-Skript nicht aus. Das Login-Skript ist NICHT über GPO zugewiesen, sondern ist in den Profil-Eigenschaften des Benutzers zugewiesen! Dort ist der volle Pfad gesetzt.
\\<AD/DNS-Domainname>\netlogon\LS\LOGIN.CMD
Ein manuelles ausführen nachdem der Nutzer angemeldet ist funktioniert ohne Probleme.
Ich habe "mitgesnifft", ein Namensauflösungsproblem besteht nicht, unter SMB sieht man keine Anforderung, im DNS/WINS keine Namensauflösungsanforderung!
In den Eventlogs sind keine Fehlermeldungen zu sehen.
In der "Default Domain Policy" beider Domänen ist "allow cross-forrest user policy and roaming user profiles" "enabled".
Normalerweise muss das Logonscript ja irgendwie vom Domaincontroller im Benutzerkontext übergeben werden, damit es aufgerufen werden kann.
Beim "Mitsniffen" einer funktionierenden (Benutzer in DOM A und PC in DOM A) und der nichtfunktionierenden Konstellation (Benutzer in DOM A und PC in DOM B) ist die einzige Stelle wo das Loginskript mitgegeben wird im PAC_LOGON_INFO (http://msdn.microsoft.com/en-us/library/cc237917.aspx)
Feld des Kerberos-Tickets.
Allerdings ist mir dort nicht klar, wie der Client (PC/Nutzer) an den verschlüsselten Inhalt kommen soll, da dieses lt. Wireshark mit dem Master Key des Domänencontrollers verschlüsselt ist.
(A) - Was mache ich falsch, was kann man noch konfigurieren, das das Login-Skript aus dem User-Profil ausgeführt wird?
- Wie kann ich weiter debuggen?
(B) Wie funktioniert das mit dem PAC-Field?
Danke Meike
