none
Domain Trust Problem W2000 <--> W2008 R2 RRS feed

  • Frage

  • English version below...

    ----------------------------------------------------------

    Folgendes Problem:

    -          Windows 2000 Domäne und Windows 2008 R2 Domäne (Achtung: Die 2000er Domäne ist eine Single-Lable-DNS-Domain)

    -          Beides eigene Dom-Organisationen

    -          Es soll eine Vertrauensstellung eingerichtet werden

    -          Vertrauensstellung lässt sich auch einrichten (ohne SIDFiltering zwecks Usermigration von 2000 à 2008)

    -          1. Problem: Sobald man die Vertrauensstellung auf 2000 Überprüfen lassen will, erscheint „Access denied“ (egal mit welchem Account)

    -          2. Problem: In 2008 kann man User von 2000 auswählen und z.B. einer Gruppe hinzufügen

    o   Wird auch sauber aufgelöst und angezeigt

    o   Schließt man nun die Gruppe (Mitglieder) und öffnet sie wieder erscheint nur noch die SID

    o   Mit einer Meldung, dass benutzerfreundliche Namen (also die Auflösung der SID nach Name) nicht angezeigt werden kann

    -          Seltsamerweise funktioniert die Authentifizierung in beiden Domänen mit je einem anderen Account

    -          Hab das Ganze auch schon in einer Testumgebung nachgestellt… Alles einwandfrei L

     

    Hatte jemand schon mal einen derartigen Fall? Oder zumindest eine Idee? Ist wirklich dringend.

     

    PS. Auch über Kommandozeile net dom trust /quarantine /enablesidfiltering habe ich schon alles versucht.

    Auch die Policies (AllowAnonymous SID ein/aus) brachten keinen Erfolg. Die Vertrauensstellung lässt sich unter 2000 nicht verifizieren.

    ----------------------------------------------------------

    Problem Description:

    -          Windows 2000 Domain and Windows 2008 R2 Domain (Attension: The 2000 Domain is an Single-Lable-DNS-Domain)

    -          Both are own forrests

    -          The two forests should be connected between a trust

    -          By Windows 2008 a trust can be creted sucessfull for both domains (without SIDFiltering for Usermigration from 2000 à 2008)

    -          1. Problem: If i would verify the trust in the 2000 domain i get „Access denied“ (for every account with every rights)

    -          2. Problem: In 2008 i can add a User into a group of then 2000-domain

                o   I can select the user from the other domain without any problems

                o   Now i close the group, and re-open it again i only see the sid and get the message (no friendly names can be displayed...)

    -          In every domain i can authenticate (logon) with a user from the other domain

    -          I've alreday tested in a Test-Enviroment and all worked perfekt L

     

    Have anyone the same problem or similar like this? It's really urgent.

     

    PS. Also i've tested cmd --> net dom trust /quarantine /enablesidfiltering...

    And allreday tested the policies with Network Access: AllowAnonymous SID on/off - without success.

    Donnerstag, 21. Oktober 2010 11:36

Antworten

  • Hi,

    Am 21.10.2010 13:36, schrieb ste1506:

    - Windows 2000 Domäne und Windows 2008 R2 Domäne (Achtung: Die 2000er Domäne ist eine Single-Lable-DNS-Domain)

    Migration 2000 nach 2003, danach Re-Name Domain oder ADMT von 2000 nach
    2003, danach Trust mit 2008.

    Ab Vista ist das Thema SingleLable Domain erledigt, sie werden nicht
    mehr unterstützt.

    Vielleicht kannst du hieraus etwas "basteln", aber der SingleLabel wird
    immer wieder zu weiteren Problemen führen und andere nach sich ziehen.

    Information about configuring Active Directory domains by using single-label DNS names
    http://support.microsoft.com/kb/300684/en-us

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Sonntag, 24. Oktober 2010 12:27

Alle Antworten

  • Hi,

    Am 21.10.2010 13:36, schrieb ste1506:

    - Windows 2000 Domäne und Windows 2008 R2 Domäne (Achtung: Die 2000er Domäne ist eine Single-Lable-DNS-Domain)

    Migration 2000 nach 2003, danach Re-Name Domain oder ADMT von 2000 nach
    2003, danach Trust mit 2008.

    Ab Vista ist das Thema SingleLable Domain erledigt, sie werden nicht
    mehr unterstützt.

    Vielleicht kannst du hieraus etwas "basteln", aber der SingleLabel wird
    immer wieder zu weiteren Problemen führen und andere nach sich ziehen.

    Information about configuring Active Directory domains by using single-label DNS names
    http://support.microsoft.com/kb/300684/en-us

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Sonntag, 24. Oktober 2010 12:27
  • Am 24.10.2010 14:27, schrieb Mark Heitbrink [MVP]:

    Migration 2000 nach 2003, danach Re-Name Domain oder ADMT von 2000 nach
    2003, danach Trust mit 2008.

    Gibt es eigentlich einen WINS? Nein? Dann jetzt ...
    ;-)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Montag, 25. Oktober 2010 07:45
  • Hallo Mark,

    vielen Dank für deine Antworten.

    In diesem Spezial-Fall ist es auch wie fast überall, eigentlich sollte es keinen WINS mehr geben, aber vorsichtshalber lässt man ihn mit laufen :)

    Also es gibt ihn (leider).

    Mittlerweile hab ich auch schon den DNS Suffix (einfach ".") über den DHCP angehängt, da vorher der Domainname (Single-Lable-DNS) nicht erreichbar bar. (z.B. \\Domainname oder cmd --> ping domainname --- ironischerweise ging \\domainname\sysvol schon). Der Kunde hatte dies über die lmhosts gelöst, was auch keine wirklich gute Idee ist / war.

    Aktuell versuche ich es über die Password-DLL (PasswordMigration Service). Weil mittlerweile geht es wirklich nur noch darum die SID's und Passwörter der Accounts in die neue Domäne zu bekommen. Die Authentifizierung klappt über den Trust.

    Zum Thema Hochstufen auf z.B. 2008: leider gibt es auch hier nur Problem mit dem Single-Label-DNS, da sich Windows 2008 bei einem solchen DNS nicht installieren lässt. Und vorher schon am W2k8 herumbiegen verhindert im Moment noch mein Bauchgefühl :)

    vG Stefan

    Montag, 25. Oktober 2010 07:56
  • Hi,

    Am 25.10.2010 09:56, schrieb ste1506:

    Zum Thema Hochstufen auf z.B. 2008:

    Deswegen schrieb ich ja auch: erst auf 2003, dann ReName und dann 2008.
    ;-)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Montag, 25. Oktober 2010 09:16
  • Hi,

    Am 25.10.2010 09:56, schrieb ste1506:

    eigentlich sollte es keinen WINS mehr geben, aber vorsichtshalber lässt man ihn mit laufen :)

    > Der Kunde hatte dies über die lmhosts gelöst,

    äh, dann ist der WINS aber schon nicht richtig konfiguriert.
    Denn das ist ja genau der Trick, warum ich danach fragte.
    Wenn einer NetBIOS Namen "richtig" beherrscht, dann der WINS.

    Schmeiss den ganzen hosts und lmhosts Dreck weg, konfiguriere einen
    WINS mit neuer/leerer Datenbank. Konfiguriere alle Clients, auch und vor
    allem die Server, diesen zu verwenden.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Montag, 25. Oktober 2010 09:20
  • Hm, Rename einer Domain *uiuiuiui* Also würd ich machen, wenn wirklich gar nichts mehr anderes übrig bleibt. Noch dazu wo es auch keine kleine Heimnetzwerk-Domäne ist.

    Mit ADMT von 2000 auf 2003 hätte ich es auch schon versucht. Hier scheitterts im Moment an der Meldung "TCPIPClientKey in Source Domain not set". Der Key ist aber definitiv gesetzt, richtig geschrieben und auf dem Server, der alle FSMO Rollen hält. Auch bereits neu gebootet :(

    Nur als kurzes Feedback: Wie würdest du die DNS-Domain am Besten umbenennen? RENDOM und GPFIXUP? (bin nur gerade zu faul zum nachlesen :))

    Danke.
    vG Stefan

    Montag, 25. Oktober 2010 09:26
  • Schmeiss den ganzen hosts und lmhosts Dreck weg, konfiguriere einen
    WINS mit neuer/leerer Datenbank. Konfiguriere alle Clients, auch und vor
    allem die Server, diesen zu verwenden.


    Schon passiert ^^
    Hat aber an der Konstellation leider nicht viel geändert.

    Das Größte Problem ist wirklich, dass durch soviele Nicht-Standards wahrscheinlich Probleme verursacht werden, die gar nichts mir der Thematik zu tun haben, aber dennoch ebenfalls behoben werden müssen, weil es könnte ja sein... (Wollt diesen Satz jetzt einfach mal los werden *grins*)

    Montag, 25. Oktober 2010 09:30
  • Hi,

    Am 25.10.2010 11:26, schrieb ste1506:

    Wie würdest du die DNS-Domain am Besten umbenennen? RENDOM und GPFIXUP?

    ... und XDR-fixup
    http://www.faq-o-matic.net/2008/09/02/umbenennen-einer-ad-domaene/

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Montag, 25. Oktober 2010 10:42