Hallo zusammen, wir setzen DFS sehr intensiv in einer Multi-Domänenumgebung (gemeinsamer AD-Forrest) ein. Über den bidirektionalen Trust, den Florian schilderte, sollten ähnliche Voraussetzungen gegeben sein wie innerhalb eines Forrests. Ich denke, das Zauberwort hier heißt DNS. Möglicherweise spielen auch Rechteprobleme eine Rolle. Hier die grundsätzliche Vorgehensweise zur Analyse des Problems: · zunächst einmal sollte der Client in der extern über Trusts verbundenen Domäne (künftig referenziert als externer Client) in der Lage sein, unter Start - Ausführen das Kommando \\DFSName<file:///\\DFSName> (ohne Ressourcenangabe, aber voll qualifiziert angegeben!) ausführen zu können. Hierbei sollte der komplette DFS-Baum angezeigt werden. · Falls der Versuch erfolgreich war, kann der externe Client innerhalb des DFS-Baums den entsprechenden Link auch so aufrufen. Warum so umständlich? Diese "Teilung" bringt uns Klarheit, ob der Fehler beim Zugriff auf das DFS selbst zu suchen ist, oder ob die Weiterleitung (der Link) nicht funktioniert. Grundsätzlich halte ich es für sinnvoll, wenn die externe Domäne bzw. der DNS-Server, auf den der externe Client zugreift, die DNS-Zone der DFS-anbietenden Domäne als sekundäre Zone zieht. Damit ist die Namensauflösung auch über Domänengrenzen hinweg gewährleistet - zumindest, sofern man alle Namensbezüge voll qualifiziert (!) angibt. Sollte auch danach, der Aufruf von \\DFSName<file:///\\DFSName> vom externen Client aus noch ein Problem darstellen, so sollten die Rechte auf der DFS-Rootshare des bzw. der DFS-Server geprüft werden. Eine sinnvolle Kombination sieht so aus: · Rechte der Freigabe: Vollzugriff für die Gruppe "Jeder" bzw. "Everyone" · Rechte des NTFS-Verzeichnisses, auf das die DFS Root-Freigabe zeigt: Leserechte für authentifizierte Benutzer (neben den schon vorhandenen Rechten ...) Damit ist sichergestellt, dass der externe Client das DFS überhaupt lesen kann. Bis hierhin sollte es also keine Probleme mehr geben. Ich gehe davon aus, das der DFS-Baum spätestens jetzt erscheint. Sollte es hier doch noch ein Problem geben, wäre in der "Umgebung" des Trusts zu suchen. Die Benutzer (Domänen Benutzer bzw. Domain Users) der externen Domäne sollten zu der lokalen Gruppe der Benutzer bzw. User der DFS-Domäne hinzugefügt werden. Der Trust bildet hierfür die Grundlage. Jetzt kann es eigentlich nur noch beim Klick auf ein Link des DFS-Baums ein Problem geben. Da der direkte Zugriff unter Umgehung des DFS lt. Mail ja funktioniert, kann es eigentlich nun nur noch daran liegen, dass das DFS nicht DNS-basiert ist. Für Windows Server bis einschließlich 2003 R2 (2008 ff kenne ich diesbezüglich noch nicht) muß auf den DFS-Servern folgender Registry-Key gesetzt werden: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dfs: Wert einfügen: "DfsDnsConfig" als dword mit Wert 1 Anschließend ist der DFS-Service auf dem betreffenden Server durchzustarten. Jetzt ist die Voraussetzung dafür gegeben, dass unter "Name-Servers" die DFS-Server selbst im DFS voll qualifiziert angezeigt werden können. Nachträglich wird sich aber daran trotz gesetztem Registry-Eintrag vermutlich nichts ändern. Wahrscheinlich ist es notwendig, den betreffenden DFS-Server erst mal vom DFS zu entfernen und neu hinzuzufügen. Vorsicht: Falls das DFS von nur einem einzigen DFS-Server präsentiert wird, löst man es durch Entfernen des einzigen Servers selbst mit auf. In diesem Fall erst einen 2. Server (nach Setzen des Registry-Keys dort) hinzufügen. Danach kann man den ersten DFS-Server entfernen und neu hinzufügen. Wenn das geklärt ist, muß nur noch sichergestellt werden, daß auch die angegebenen Verweise voll qualifiziert angegeben worden sind. Danach sollte der Zugriff störungsfrei auch "von außen" funktionieren. Mit freundlichen Grüßen Baden-Württembergischer Genossenschaftsverband e.V. Christian Möhnle IT/Organisation/Qualität Fon: (07 11) 2 22 13 - 26 90 Fax: (07 11) 2 22 13 - 73 04 Postfach 10 54 43, 70047 Stuttgart mailto:christian.moehnle@xxxxxxxxxxxx www.bwgv-info.de<http://www.bwgv-info.de/> Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Florian Frommherz Gesendet: Samstag, 19. März 2011 18:30 An: adde@xxxxxxxxxxxxx Cc: 'Herzog, Marcel' Betreff: [adde] Re: Frage - Domaintrust / AD-integrierter DFS Namespace Howdie! Klappt es per NetBIOS-Namen? \\domainb\xyz<file:///\\domainb\xyz>? Ansonsten würde ich jeweils mal einen Netzwerktrace ziehen wollen und entsprechend vergleichen. Für mich sieht das erstmal nach einem Auflösungsproblem aus, wobei der Zugriff auf den DFS-Stamm ebenfalls funktionieren sollte. Cheers, Florian From: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] On Behalf Of Oelrichs, Heyko Sent: Donnerstag, 17. März 2011 08:53 To: adde@xxxxxxxxxxxxx Cc: Herzog, Marcel Subject: [adde] Frage - Domaintrust / AD-integrierter DFS Namespace Guten Morgen zusammen, ich habe mal eine Frage zum Thema AD-integrierte DFS Namespaces und Domänenvertrauensstellungen. Konkret geht es um den Zugriff von einem Client in Domäne A auf einen DFS Namespace in Domäne B. Zwischen den beiden Domänen besteht ein bidirektionaler, nicht-transitiver Domänentrust. Die Anmeldung mit Konten der jeweils anderen Domäne funktioniert und der Zugriff auf einzelne Server auch. Nur der Zugriff auf einen DFS-Stamm (z.B. \\domainB.local\xyz<file:///\\domainB.local\xyz>) nicht. Wenn ich allerdings versuche direkt auf die dahinter liegende Ressource zuzugreifen (z.B. \\servera.domainb.local\xyz<file:///\\servera.domainb.local\xyz>) funktioniert das ebenfalls. Wenn ich versuche über die DFS-MMC mir den Remote-Stamm anzeigen zu lassen bekomme ich die Meldung der RPC-Server ist nicht verfügbar. Aus Domäne A sind nicht alle Hosts/Server in Domäne B erreichbar - auch nicht alle Domänencontroller und DFS Namespace Server sondern nur das primäre Servernetz. Jetzt meine Frage - was für Voraussetzungen müssen geschaffen werden um den Domänenübergreifenden Zugriff auf DFS-Stamm zu ermöglichen. Oder besser was gibt es für Troubleshooting Szenarien um sich diesem Problem zu nähern? Vielleicht hat da ja jemand schon mal Erfahrungen mit gesammelt. Vielen Dank schon einmal vorab. Gruß, Heyko _______________________________________________________________________________________ Bohlen & Doyen Bauunternehmung GmbH Sitz der Gesellschaft: Wiesmoor Eingetragen beim Amtsgericht Aurich, HRB 200441 Geschäftsführer: Dipl. Ing. Jan G. Koop, Dipl. Oec. Gerd Schröder, Dipl. Ing. Hartmut Wegener UST.-Id.-Nr.: DE254277000 Registered office: Wiesmoor Registered at the district court Aurich, HRB 200441 Managing Directors: Dipl. Ing. Jan G. Koop, Dipl. Oec. Gerd Schröder, Dipl. Ing. Hartmut Wegener VAT.-Id-No.: DE254277000 The information in this email may be confidential or protected by privilege. If you are not the intended recipient please inform us immediately and do not disclose or copy its contents. Diese Email ist vertraulich und nur für den Adressaten bestimmt. Falls Sie als Empfänger mit dem Adressaten nicht identisch sind informieren Sie uns bitte umgehend. Jede Verbreitung und Vervielfältigung dieser Email ist untersagt.