Vertrauensstellung WS2K19

Vertrauensstellung WS2K19

5
(1)
Vertrauensstellung unterschiedlicher Domänen aufbauen – Windows Server 2019 Standard

In diesem Tutorial wird die Einrichtung einer Vertrauensstellung zwischen zwei unabhängigen Domänenstrukturen aufgezeigt. Mit Hilfe dieser Vertrauensstellung ist es u.a. möglich die Benutzerrechte der jeweiligen Domänencontroller Domänen-übergreifend zu verwenden d.h. die Benutzer des Standorts A können über Ihre Domänen hinaus in die Rechtestruktur des Standorts B hinzugefügt werden, z.B. für den Zugriff auf die Netzlaufwerksfreigaben des Standorts B.

Voraussetzung ist, dass die beiden bzw. mehreren Domänen sich gegenseitig sehen können, dabei ist es unwichtig ob die weiteren Domänen im selben lokalen Netzwerk befinden oder eine Verbindung der jeweiligen Standorte z.B. über VPN mit entsprechenden Firewall-Regen gegeben ist. So kann der Administrator einfacher zwischen den unterschiedlichen Domänen agieren.

Dieses Tutorial baut auf der Einrichtung der ersten AD mit Windows Server 2019 auf, den Artikel dazu finden Sie hier

Vorbereitung
– mindestens zwei Domänencontroller unterschiedlicher Domänenstruktur
– DNS-Server müssen bei beiden DCs eingerichtet – lesen Sie dazu das Tutorial hier
– Die Netzwerkverbindung zwischen den jeweiligen Domänen muss gegeben sein (lokal / VPN)

Domänencontroller – Standort A – dca
Domänestandorta.acsnetz.local
DC-Server Hostnamedca
DC-Server IP-Adresse192.168.1.248
Subnetzmaske255.255.255.0
Standardgateway (Router)192.168.1.254
Bevorzugter DNS-Server192.168.1.248
Domänencontroller – Standort B – dcb
Domänestandortb.acsnetz.local
DC-Server Hostnamedcb
DC-Server IP-Adresse192.168.1.249
Subnetzmaske255.255.255.0
Standardgateway (Router)192.168.1.254
Bevorzugter DNS-Server192.168.1.249
Standort A und Standort B – Voraussetzungen für eine Vertrauensstellung schaffen
Wichtig
erste Voraussetzung für die Vertrauensstellung
damit die Vertrauensstellung zwischen zwei oder mehreren Domänen reibungslos funktionieren kann ist es zwingend notwendig, dass die Uhrzeit und das Datum der jeweiligen Domänencontroller exakt übereinstimmen, ein Tutorial wie Sie einen Zeit Server in einer Domäne einrichten können finden Sie hier
in der folgenden Abbildungen zeige ich Standort A (links) und Standort B (rechts)….
die jeweiligen Konfigurationen beider Domänencontroller ist weitest gehend die selbe,
zum besseren Vergleich bezogen auf Domäne / Hostname und IP-Adresse habe ich diese nebeneinander aufgeführt
bei beiden Servern wechseln wir in die DNS-Einstellungen
DNS-Eintrag für Bedingte Weiterleitungen – Standort A…
im DNS des Standortes A tragen wir nun den Namen und die IP-Adresse des Standortes B ein
DNS-Eintrag für Bedingte Weiterleitungen – Standort B…
im DNS des Standortes B tragen wir den Namen und die IP-Adresse des Standortes A ein
wenn Sie weitere Domänen in die Vertrauensstellung einbinden möchten gehen Sie genau so vor, am Ende ist es wichtig, dass sich die jeweiligen Domänen untereinander sehen können.

Dies können Sie mit einem Ping auf die Gegenseite prüfen (das ICMP-Protokoll muss in der jeweiligen Firewall frei gegeben sein)
von Standort A aus – ping standortb.acsnetz.local
von Standort B aus – ping standorta.acsnetz.local
wenn Sie jeweils Antwort von der gegenüberliegenden Domäne bekommen, ist die zweite Voraussetzung für die Vertrauensstellung gegeben
Vertrauensstellung zwischen zwei Domänen aufbauen
Wir starten über den Server-Manager des Standort A die Active Directory-Domänen und -Vertrauensstellungen
wir wählen die Eigenschaften der Domäne des Standortes A
unter dem Reiter Vertrauensstellungen wählen wir Neue Vertrauensstellung…
und folgen dem Assistenten…
wir geben nun den Domänennamen des Standortes B ein…
und legen den Typ der Vertrauensstellung fest – in unserem Fall wählen wir die
Gesamtstrukturvertrauensstellung
im folgenden Fenster legen wir die Richtung der Vertrauensstellung fest, wir wählen Bidirektional für eine eingehende und ausgehende Authentifizierung…
beider Domänen
Um die Vertrauensstellung aufzubauen wird das Administratorkennwort für die gegenüberliegende Domäne benötigt,
in diesem Fall also die Zugangsdaten des Standortes B
Authentifizierungsebene für die Gesamtstrukturweite Authentifizierung wählen (lokal, Standort A)
Authentifizierungsebene für die Gesamtstrukturweite Authentifizierung wählen (extern, Standort B)
die Vertrauensstellung zwischen standorta.acsnetz.local und standortb.acsnetz.local erstellen wir nun mit Weiter
mit einem erneuten Klick auf Weiter
bestätigen wir die ausgehende
und eingehende Vertrauensstellung
wir schließen den Assistenten für Vertrauensstellungen mit Fertig stellen
Standort B mit der Domäne standortb.acsnetz.local ist nun in den ausgehenden und eingehenden Vertrauensstellungen hinterlegt
Zugriffsrechte der Vertrauensstellung der Standorte A und B überprüfen
zur Überprüfung der Bidirektionalen Authentifizierung erstellen wir jeweils an den Standorten eine Domänenlokale Gruppe, z.B. für ein Netzlaufwerk auf welches ein Benutzer der Gegenüberliegenden Domäne Lese und Schreibrechte bekommen soll…

Standort A (links) | Standort B (rechts)
unter Pfade…
können wir nun den jeweils gegenüberliegenden Standort auswählen
mit dem Klick auf Erweitert…
und Jetzt suchen
können wir alle Benutzer der jeweils anderen Domäne sehen und auswählen, ohne weitere Zugangsdaten eingeben zu müssen
nach Auswahl der Benutzer bestätigen wir mit OK
der Benutzer der jeweils anderen Domäne hat nun Lese und Schreibrechte auf das Netzlaufwerk der jeweils anderen Domäne.
Ein Domänen-übergreifenden Zugriff wird dabei mit einem roten Pfeil rechts neben dem Benutzersymbol ersichtlich


weitere Tutorials folgen…

Diesen Beitrag Bewerten

Durchschnittliche Bewertung 5 / 5. Anzahl der Bewertungen 1

Bislang wurde noch keine Bewertung zu diesem Beitrag abgegeben

3 Kommentare

  1. Vielen Dank für diese hervorragende Anleitung!

    Die Herstellung der Vertrauensstellungen zweier bisher unabhängiger Domänen über eine VPN-Verbindung hat auf Anhieb funktioniert!

    Vielen Dank dafür!

    Kay Meyer
  2. Hallo Zusammen,

    ist es normal, dass ich unter Server 2022 beim Hinzufügen von Benutzern aus der anderen Domain in eine Gruppe einmal den Domain Administrator zum authentifizieren eingeben muss? 🙁

    Dustin
  3. Ich entschuldige mich aufrichtig für diesen Kommentar! Aber ich teste einige Software zum Ruhm unseres Landes und ihr positives Ergebnis wird dazu beitragen, die Beziehungen Deutschlands im globalen Internet zu stärken. Ich möchte mich noch einmal aufrichtig entschuldigen und liebe Grüße 🙂

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert