[adde] AW: Re: Frage - Domaintrust / AD-integrierter DFS Namespace
- From: <Christian.Moehnle@xxxxxxxxxxxx>
- To: <adde@xxxxxxxxxxxxx>
- Date: Tue, 22 Mar 2011 16:10:45 +0100
Hallo zusammen,
wir setzen DFS sehr intensiv in einer Multi-Domänenumgebung (gemeinsamer
AD-Forrest) ein. Über den bidirektionalen Trust, den Florian schilderte,
sollten ähnliche Voraussetzungen gegeben sein wie innerhalb eines Forrests.
Ich denke, das Zauberwort hier heißt DNS. Möglicherweise spielen auch
Rechteprobleme eine Rolle.
Hier die grundsätzliche Vorgehensweise zur Analyse des Problems:
· zunächst einmal sollte der Client in der extern über Trusts
verbundenen Domäne (künftig referenziert als externer Client) in der Lage sein,
unter Start - Ausführen das Kommando \\DFSName<file:///\\DFSName> (ohne
Ressourcenangabe, aber voll qualifiziert angegeben!) ausführen zu können.
Hierbei sollte der komplette DFS-Baum angezeigt werden.
· Falls der Versuch erfolgreich war, kann der externe Client innerhalb
des DFS-Baums den entsprechenden Link auch so aufrufen.
Warum so umständlich? Diese "Teilung" bringt uns Klarheit, ob der Fehler beim
Zugriff auf das DFS selbst zu suchen ist, oder ob die Weiterleitung (der Link)
nicht funktioniert.
Grundsätzlich halte ich es für sinnvoll, wenn die externe Domäne bzw. der
DNS-Server, auf den der externe Client zugreift, die DNS-Zone der
DFS-anbietenden Domäne als sekundäre Zone zieht. Damit ist die Namensauflösung
auch über Domänengrenzen hinweg gewährleistet - zumindest, sofern man alle
Namensbezüge voll qualifiziert (!) angibt.
Sollte auch danach, der Aufruf von \\DFSName<file:///\\DFSName> vom externen
Client aus noch ein Problem darstellen, so sollten die Rechte auf der
DFS-Rootshare des bzw. der DFS-Server geprüft werden. Eine sinnvolle
Kombination sieht so aus:
· Rechte der Freigabe: Vollzugriff für die Gruppe "Jeder" bzw.
"Everyone"
· Rechte des NTFS-Verzeichnisses, auf das die DFS Root-Freigabe zeigt:
Leserechte für authentifizierte Benutzer (neben den schon
vorhandenen Rechten ...)
Damit ist sichergestellt, dass der externe Client das DFS überhaupt lesen kann.
Bis hierhin sollte es also keine Probleme mehr geben. Ich gehe davon aus, das
der DFS-Baum spätestens jetzt erscheint. Sollte es hier doch noch ein Problem
geben, wäre in der "Umgebung" des Trusts zu suchen. Die Benutzer (Domänen
Benutzer bzw. Domain Users) der externen Domäne sollten zu der lokalen Gruppe
der Benutzer bzw. User der DFS-Domäne hinzugefügt werden. Der Trust bildet
hierfür die Grundlage.
Jetzt kann es eigentlich nur noch beim Klick auf ein Link des DFS-Baums ein
Problem geben. Da der direkte Zugriff unter Umgehung des DFS lt. Mail ja
funktioniert, kann es eigentlich nun nur noch daran liegen, dass das DFS nicht
DNS-basiert ist. Für Windows Server bis einschließlich 2003 R2 (2008 ff kenne
ich diesbezüglich noch nicht) muß auf den DFS-Servern folgender Registry-Key
gesetzt werden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dfs: Wert einfügen:
"DfsDnsConfig" als dword mit Wert 1
Anschließend ist der DFS-Service auf dem betreffenden Server durchzustarten.
Jetzt ist die Voraussetzung dafür gegeben, dass unter "Name-Servers" die
DFS-Server selbst im DFS voll qualifiziert angezeigt werden können.
Nachträglich wird sich aber daran trotz gesetztem Registry-Eintrag vermutlich
nichts ändern. Wahrscheinlich ist es notwendig, den betreffenden DFS-Server
erst mal vom DFS zu entfernen und neu hinzuzufügen. Vorsicht: Falls das DFS von
nur einem einzigen DFS-Server präsentiert wird, löst man es durch Entfernen des
einzigen Servers selbst mit auf. In diesem Fall erst einen 2. Server (nach
Setzen des Registry-Keys dort) hinzufügen. Danach kann man den ersten
DFS-Server entfernen und neu hinzufügen.
Wenn das geklärt ist, muß nur noch sichergestellt werden, daß auch die
angegebenen Verweise voll qualifiziert angegeben worden sind. Danach sollte der
Zugriff störungsfrei auch "von außen" funktionieren.
Mit freundlichen Grüßen
Baden-Württembergischer Genossenschaftsverband e.V.
Christian Möhnle
IT/Organisation/Qualität
Fon: (07 11) 2 22 13 - 26 90
Fax: (07 11) 2 22 13 - 73 04
Postfach 10 54 43, 70047 Stuttgart
mailto:christian.moehnle@xxxxxxxxxxxx
www.bwgv-info.de<http://www.bwgv-info.de/>
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von
Florian Frommherz
Gesendet: Samstag, 19. März 2011 18:30
An: adde@xxxxxxxxxxxxx
Cc: 'Herzog, Marcel'
Betreff: [adde] Re: Frage - Domaintrust / AD-integrierter DFS Namespace
Howdie!
Klappt es per NetBIOS-Namen? \\domainb\xyz<file:///\\domainb\xyz>? Ansonsten
würde ich jeweils mal einen Netzwerktrace ziehen wollen und entsprechend
vergleichen. Für mich sieht das erstmal nach einem Auflösungsproblem aus, wobei
der Zugriff auf den DFS-Stamm ebenfalls funktionieren sollte.
Cheers,
Florian
From: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] On Behalf Of
Oelrichs, Heyko
Sent: Donnerstag, 17. März 2011 08:53
To: adde@xxxxxxxxxxxxx
Cc: Herzog, Marcel
Subject: [adde] Frage - Domaintrust / AD-integrierter DFS Namespace
Guten Morgen zusammen,
ich habe mal eine Frage zum Thema AD-integrierte DFS Namespaces und
Domänenvertrauensstellungen. Konkret geht es um den Zugriff von einem Client in
Domäne A auf einen DFS Namespace in Domäne B.
Zwischen den beiden Domänen besteht ein bidirektionaler, nicht-transitiver
Domänentrust. Die Anmeldung mit Konten der jeweils anderen Domäne funktioniert
und der Zugriff auf einzelne Server auch.
Nur der Zugriff auf einen DFS-Stamm (z.B.
\\domainB.local\xyz<file:///\\domainB.local\xyz>) nicht. Wenn ich allerdings
versuche direkt auf die dahinter liegende Ressource zuzugreifen (z.B.
\\servera.domainb.local\xyz<file:///\\servera.domainb.local\xyz>) funktioniert
das ebenfalls.
Wenn ich versuche über die DFS-MMC mir den Remote-Stamm anzeigen zu lassen
bekomme ich die Meldung der RPC-Server ist nicht verfügbar. Aus Domäne A sind
nicht alle Hosts/Server in Domäne B erreichbar - auch nicht alle
Domänencontroller und DFS Namespace Server sondern nur das primäre Servernetz.
Jetzt meine Frage - was für Voraussetzungen müssen geschaffen werden um den
Domänenübergreifenden Zugriff auf DFS-Stamm zu ermöglichen. Oder besser was
gibt es für Troubleshooting Szenarien um sich diesem Problem zu nähern?
Vielleicht hat da ja jemand schon mal Erfahrungen mit gesammelt. Vielen Dank
schon einmal vorab.
Gruß,
Heyko
_______________________________________________________________________________________
Bohlen & Doyen Bauunternehmung GmbH
Sitz der Gesellschaft: Wiesmoor
Eingetragen beim Amtsgericht Aurich, HRB 200441
Geschäftsführer: Dipl. Ing. Jan G. Koop, Dipl. Oec. Gerd Schröder, Dipl. Ing.
Hartmut Wegener
UST.-Id.-Nr.: DE254277000
Registered office: Wiesmoor
Registered at the district court Aurich, HRB 200441
Managing Directors: Dipl. Ing. Jan G. Koop, Dipl. Oec. Gerd Schröder, Dipl.
Ing. Hartmut Wegener
VAT.-Id-No.: DE254277000
The information in this email may be confidential or protected by privilege. If
you are not the intended recipient please inform us immediately and do not
disclose or copy its contents.
Diese Email ist vertraulich und nur für den Adressaten bestimmt. Falls Sie als
Empfänger mit dem Adressaten nicht identisch sind informieren Sie uns bitte
umgehend. Jede Verbreitung und Vervielfältigung dieser Email ist untersagt.
Other related posts:
- » [adde] AW: Re: Frage - Domaintrust / AD-integrierter DFS Namespace - Christian.Moehnle
