| Vertrauensstellung unterschiedlicher Domänen aufbauen – Windows Server 2019 Standard |
|---|
In diesem Tutorial wird die Einrichtung einer Vertrauensstellung zwischen zwei unabhängigen Domänenstrukturen aufgezeigt. Mit Hilfe dieser Vertrauensstellung ist es u.a. möglich die Benutzerrechte der jeweiligen Domänencontroller Domänen-übergreifend zu verwenden d.h. die Benutzer des Standorts A können über Ihre Domänen hinaus in die Rechtestruktur des Standorts B hinzugefügt werden, z.B. für den Zugriff auf die Netzlaufwerksfreigaben des Standorts B.
Voraussetzung ist, dass die beiden bzw. mehreren Domänen sich gegenseitig sehen können, dabei ist es unwichtig ob die weiteren Domänen im selben lokalen Netzwerk befinden oder eine Verbindung der jeweiligen Standorte z.B. über VPN mit entsprechenden Firewall-Regen gegeben ist. So kann der Administrator einfacher zwischen den unterschiedlichen Domänen agieren.
Dieses Tutorial baut auf der Einrichtung der ersten AD mit Windows Server 2019 auf, den Artikel dazu finden Sie hier
Vorbereitung
– mindestens zwei Domänencontroller unterschiedlicher Domänenstruktur
– DNS-Server müssen bei beiden DCs eingerichtet – lesen Sie dazu das Tutorial hier
– Die Netzwerkverbindung zwischen den jeweiligen Domänen muss gegeben sein (lokal / VPN)
| Domänencontroller – Standort A – dca | |
| Domäne | standorta.acsnetz.local |
| DC-Server Hostname | dca |
| DC-Server IP-Adresse | 192.168.1.248 |
| Subnetzmaske | 255.255.255.0 |
| Standardgateway (Router) | 192.168.1.254 |
| Bevorzugter DNS-Server | 192.168.1.248 |
| Domänencontroller – Standort B – dcb | |
| Domäne | standortb.acsnetz.local |
| DC-Server Hostname | dcb |
| DC-Server IP-Adresse | 192.168.1.249 |
| Subnetzmaske | 255.255.255.0 |
| Standardgateway (Router) | 192.168.1.254 |
| Bevorzugter DNS-Server | 192.168.1.249 |
| Standort A und Standort B – Voraussetzungen für eine Vertrauensstellung schaffen |
 |
| Wichtig erste Voraussetzung für die Vertrauensstellung damit die Vertrauensstellung zwischen zwei oder mehreren Domänen reibungslos funktionieren kann ist es zwingend notwendig, dass die Uhrzeit und das Datum der jeweiligen Domänencontroller exakt übereinstimmen, ein Tutorial wie Sie einen Zeit Server in einer Domäne einrichten können finden Sie hier  |
in der folgenden Abbildungen zeige ich Standort A (links) und Standort B (rechts)…. |
| die jeweiligen Konfigurationen beider Domänencontroller ist weitest gehend die selbe, zum besseren Vergleich bezogen auf Domäne / Hostname und IP-Adresse habe ich diese nebeneinander aufgeführt  |
bei beiden Servern wechseln wir in die DNS-Einstellungen |
DNS-Eintrag für Bedingte Weiterleitungen – Standort A… |
im DNS des Standortes A tragen wir nun den Namen und die IP-Adresse des Standortes B ein |
 |
DNS-Eintrag für Bedingte Weiterleitungen – Standort B… |
im DNS des Standortes B tragen wir den Namen und die IP-Adresse des Standortes A ein |
 |
| wenn Sie weitere Domänen in die Vertrauensstellung einbinden möchten gehen Sie genau so vor, am Ende ist es wichtig, dass sich die jeweiligen Domänen untereinander sehen können. Dies können Sie mit einem Ping auf die Gegenseite prüfen (das ICMP-Protokoll muss in der jeweiligen Firewall frei gegeben sein) von Standort A aus – ping standortb.acsnetz.local von Standort B aus – ping standorta.acsnetz.local wenn Sie jeweils Antwort von der gegenüberliegenden Domäne bekommen, ist die zweite Voraussetzung für die Vertrauensstellung gegeben  |
| Vertrauensstellung zwischen zwei Domänen aufbauen Wir starten über den Server-Manager des Standort A die Active Directory-Domänen und -Vertrauensstellungen  |
wir wählen die Eigenschaften der Domäne des Standortes A |
unter dem Reiter Vertrauensstellungen wählen wir Neue Vertrauensstellung… |
und folgen dem Assistenten… |
wir geben nun den Domänennamen des Standortes B ein… |
| und legen den Typ der Vertrauensstellung fest – in unserem Fall wählen wir die Gesamtstrukturvertrauensstellung  |
im folgenden Fenster legen wir die Richtung der Vertrauensstellung fest, wir wählen Bidirektional für eine eingehende und ausgehende Authentifizierung… |
beider Domänen |
| Um die Vertrauensstellung aufzubauen wird das Administratorkennwort für die gegenüberliegende Domäne benötigt, in diesem Fall also die Zugangsdaten des Standortes B  |
Authentifizierungsebene für die Gesamtstrukturweite Authentifizierung wählen (lokal, Standort A) |
Authentifizierungsebene für die Gesamtstrukturweite Authentifizierung wählen (extern, Standort B) |
die Vertrauensstellung zwischen standorta.acsnetz.local und standortb.acsnetz.local erstellen wir nun mit Weiter |
mit einem erneuten Klick auf Weiter… |
bestätigen wir die ausgehende… |
und eingehende Vertrauensstellung |
wir schließen den Assistenten für Vertrauensstellungen mit Fertig stellen |
Standort B mit der Domäne standortb.acsnetz.local ist nun in den ausgehenden und eingehenden Vertrauensstellungen hinterlegt |
| Zugriffsrechte der Vertrauensstellung der Standorte A und B überprüfen |
| zur Überprüfung der Bidirektionalen Authentifizierung erstellen wir jeweils an den Standorten eine Domänenlokale Gruppe, z.B. für ein Netzlaufwerk auf welches ein Benutzer der Gegenüberliegenden Domäne Lese und Schreibrechte bekommen soll… Standort A (links) | Standort B (rechts)  |
 |
 |
unter Pfade… |
können wir nun den jeweils gegenüberliegenden Standort auswählen |
mit dem Klick auf Erweitert… |
| und Jetzt suchen… können wir alle Benutzer der jeweils anderen Domäne sehen und auswählen, ohne weitere Zugangsdaten eingeben zu müssen  |
nach Auswahl der Benutzer bestätigen wir mit OK |
| der Benutzer der jeweils anderen Domäne hat nun Lese und Schreibrechte auf das Netzlaufwerk der jeweils anderen Domäne. Ein Domänen-übergreifenden Zugriff wird dabei mit einem roten Pfeil rechts neben dem Benutzersymbol ersichtlich  weitere Tutorials folgen… |
Vielen Dank für diese hervorragende Anleitung!
Die Herstellung der Vertrauensstellungen zweier bisher unabhängiger Domänen über eine VPN-Verbindung hat auf Anhieb funktioniert!
Vielen Dank dafür!
Hallo Zusammen,
ist es normal, dass ich unter Server 2022 beim Hinzufügen von Benutzern aus der anderen Domain in eine Gruppe einmal den Domain Administrator zum authentifizieren eingeben muss? 🙁