Rating: 4.6/5. (34 Stimmen) Details
Bitte warten...

Active Directory ist der Verzeichnisdienst von Microsoft und besteht aus einem Forest (Gesamtstruktur). Ein Forest kann unzählige Subdomänen besitzen, in der Gesamtstrukturfunktionsebene Windows 2003 bis zu 1.200. Domänen stellen eine Verwaltungseinheit dar. In der Vergangenheit hat man oft Ressourcen und Benutzer in unterschiedlichen Domänen verwaltet, mittlerweile ist die Empfehlung Microsofts Single Domains zu nutzen. Große Firmen strukturieren ihren Forest gern nach Gesellschaften, Abteilungen oder Standorten. So lassen sich bspw. administrative Aufgaben an entsprechende IT-Abteilungen delegieren oder Sicherheitsvorgaben erfüllen.

In vielen Szenarien ist es erforderlich, zwei oder mehrere Gesamtstrukturen (Forests) zusammenzuschließen. Erfolgt die Integration eines aufgekauften Unternehmens oder besteht eine Partnerschaft zu einer Firma, ist die Freigabe von Ressourcen (Server, Shares, usw.) oftmals eine Anforderung an die IT. Wir brauchen eine Verbindung zwischen den Domänen, wir brauchen einen Trust!

Das nachfolgend beschriebene Verfahren ist für alle verfügbaren Windows Server-Versionen (aktuell Windows Server 2019) gültig. Eine Einführung zum Active Directory findest du in meinem Grundlagen-Beitrag.

Active Directory: Grundlagen

Das Active Directory (AD) ist ein Verzeichnisdienst aus dem Hause Microsoft. Es beinhaltet und verwaltet Netzwerkressourcen wie Benutzer, Gruppen, ...

Ein Trust ist ein Vertrauen zwischen Domänen und Gesamtstrukturen. Dieses Vertrauen kann ein- oder beidseitig (uni- oder bidirektional) bestehen. Weiterhin ist es möglich dieses Vertrauen transitiv zu übermitteln. Vertraut Domäne A der Domäne B und vertraut Domäne A der Domäne C, dann wird dieses Vertrauen automatisch übertragen, respektive Domäne B vertraut der Domäne C. Welche Voraussetzungen müssen erfüllt sein?

Voraussetzung 1: Konnektivität

TrustWas als selbstverständlich gilt ist unbedingt zu überprüfen. Es muss eine Netzwerkverbindung zwischen den Domänencontrollern der beiden Gesamtstrukuren bestehen. Dies erfolgt in der Regel über eine VPN- oder gesicherten IPSec-Verbindung. Das geschieht entweder über entsprechende Gateways oder durch Einrichtung einer IPSec-Richtlinie. Diese kann der Einfachheit halber per GPO an die Domänencontroller verteilt werden. Was ist dabei zu beachten? Es sollten nur die benötigten Server als Ziel bzw. Quelle eingetragen werden. Sicherheit ist erforderlich, sodass sichergestellt wird, dass der Datenverkehr ausschließlich verschlüsselt und/oder authentisch übermittelt wird. Es sollten nur sichere Methoden der Verschlüsselung/Integritätssicherstellung genutzt werden. Als potentiell unsicher gelten alte Algorithmen wie DES oder RC4.

Voraussetzung 2: Namensauflösung

Wenn Ressourcen genutzt werden ist es unabdingbar, dass sich die Domänen und deren Ressourcen gegenseitig auflösen können. Hierzu ist die Einrichtung einer bedingten Weiterleitung (Conditional Forwarding) der Zieldomäne im DNS notwendig. Diese Funktionalität erschien erst mit dem Windows Server 2003. Unter Windows 2000 Server müssen die HOST-Einträge (C:\Windows\System32\drivers\etc) gepflegt werden.

Bedingte Weiterleitung

Bedingte Weiterleitung im DNS

Anschließend ist die Auflösung über NSLOOKUP zu überprüfen: nslookup.exe <ZIELDOMÄNE>. Besteht keine funktionsfähige Namensauflösung, schlägt die Einrichtung des Trusts fehl. Wurden alle Voraussetzungen erfüllt, ist die Einrichtung der Vertrauensstellung nur noch Formsache. Über das Snapin “Active Directory-Domänen und -Vertrauensstellungen” (domain.msc) wird über einen Assistenten der Trust eingerichtet. Dazu öffnet man die Eigenschaften der Quelldomäne.

Eigenschaften Domain

Mittels “Neue Vertrauensstellung…” wird der benötigte Assistent aufgerufen.

Neue Vertrauensstellung

Es folgt die Angabe der Zieldomäne.

Zieldomäne der Vertrauensstellung

Der Typ des Trust wird im anschließenden Fenster angegeben. Es gilt zu entscheiden, ob der Trust transitiv ist. Bedeutet, man vertraut (blind) allen Domänen einer Gesamtstruktur oder eben nicht. Im Zweifel sollte man eine externe Vertrauensstellung wählen. Ist der Zugriff auf Ressourcen oder Objekte unterhalb der Ziel-Rootdomäne, respektive Subdomänen, notwendig, beispielsweise für eine Migration, ist die Gesamtstrukturvertrauensstellung auszuwählen.

Vertrauenstyp

Die Sichtbarkeit der Domänen, respektive die Nutzung der Ressourcen einer Domäne, ist im nächsten Fenster anzugeben. Wird in beiden Richtungen vertraut, können Benutzer sowohl in der Ziel- als auch der Quelldomäne berechtigt werden.

Richtung der Vertrauensstellung

Besitzt man den administrativen Zugang zu beiden Domänen, kann die Einrichtung des Trust für beiden Seiten in einem Durchgang erledigt werden.

Vertrauensstellungsseiten

Hierzu gibt man den berechtigten Account der Zieldomäne an.

Berechtigten Account der Zieldomäne angeben

Wenn für die Benutzer der Quelldomäne die gleichen allgemeinen Privilegien gelten sollen, wie die der Benutzer der Zieldomäne, ist in diesem Fenster die Domänenweite Authentifizierung auszuwählen. Eine alternative und sicherere Methode ist die selektive Authentifizierung. In diesem Modus müssen Berechtigungen explizit vergeben. Diese Einstellung kann später in den Eigenschaften des Trust noch geändert werden.

Authentifizierungsebene

Nach der Wahl der Einstellung erscheint die Übersicht der gewählten Angaben. Nach Bestätigung erfolgt die Einrichtung des Trust.

Abschließend kann eine Überprüfung der Vertrauensstellung durchgeführt werden, um sich von der korrekten Einrichtung zu überzeugen.

Eigenschaften von Domäne

Jetzt können die Benutzer, Computer oder Gruppen einer Gesamtstruktur auf die Ressourcen des Forest berechtigt werden. Die Domäne ist nun, je nach ausgewählter Vertrauensstellung, sicht- und nutzbar.

Pfad zur vertrauenden Domäne

Der Trust kann auch über Kommandozeile eingerichtet werden. Der Befehl lautet: netdom.exe trust. Weitere Informationen zum Befehl finden sich im Technet.

Wurde die selektive Authentifizierung (Ausgewählte Authentifizierung) ausgewählt, werden Anwender aus der Benutzerdomäne beim Versuch sich per RDP an den Server oder Computer anzumelden auf einen Fehler laufen. Bei dieser Authentifizierungsart muss die Anmeldung für diese Benutzer oder Gruppe explizit erlaubt werden. Zu setzen ist das in den Sicherheitseinstellungen des Computerkontos im Active Directory.

Selektive Authentifizierung Computerkonto


Mac

Mac

Seit über 20 Jahren beschäftige ich mich mit Themen aus dem Bereich IT. Mein Schwerpunkt liegt dabei auf Produkte aus dem Hause Microsoft. Dazu gehören neben Active Directory und Windows Server insbesondere Netzwerkdienste wie DNS, DFS und DHCP. Zudem bin ich ein großer Verfechter des Internet Information Service, also dem Windows Webserver. Berührungspunkte im Bereich Citrix XenApp sowie XenDesktop, als auch VMware runden meinen Erfahrungsschatz ab.

12 Kommentare

max · 20. Juli 2015 um 12:50

Hallo,
wenn ich einen DC mit 2008 habe und eine neue Domäne mit 2012R2 einrichte, muss ich die Domänengesamtstruktur beim 2012r2 auf 2008 einstellen, damit ich die Vertrauensstellung machen kann?

LG

Klaus · 2. Januar 2015 um 16:15

Nochwas: achtet darauf, dass die Computernamen beider PDCs unterschiedlich sind.
zB DOMAIN.site1.local   vertraut   DOMAIN.site2.local  :funktioniert nicht (auch bei 2 laufenden replizierten WINS). Fehler: Kein Anmeldeserver verfügbar.
Erst nachdem ich den Computernamen von einem PDC umbenannt habe, hats funktioniert. (Achtung, wenn ihr schon User auf dem PDC habt, dann müsst ihr herabstufen, umbenennen und wieder hochstufen). Und vergesst nicht auch die WINS-Repl zu aktualisieren.
Klaus
 

    Mac

    Mac · 2. Januar 2015 um 21:38

    Danke für die Ergänzung. Es ist richtig, dass es zu Komplikationen kommt, wenn der NetBios-Name identisch ist.

    Das beschränkt sich aber nicht auf DC’s. Gleiches passiert auch in Fällen, in denen es ein Computerkonto für Server oder Workstations gibt, welches gleich wie die verbindende Domäne heißt. Da für eine Trusted Domain ebenfalls ein Computerkonto anlegt wird, kommt es bei Konflikten wie diesen zum Fehler und der Trust kann nicht eingerichtet werden.

Marvin · 12. Februar 2014 um 12:26

Hallo, und danke für die Anleitung.
Gibt es denn auch eine Möglichkeit zwischen beiden Vertrauensstellungen die AD Informationen zu replizieren.
Danke für die Hilfe

    Mac

    Mac · 16. Februar 2014 um 14:32

    Danke für das Feedback. Freut mich wenn der Artikel weiterhilft.

    Gesamtstrukturen sind in sich geschlossene Verwaltungseinheiten. Es widerspricht dem Grundgedanken, Forest-übergreifend zu replizieren. Microsoft schreibt dazu:
    “…Es gibt die folgenden Gründe, um mehrere Gesamtstrukturen in Ihrer Organisation zu erstellen:

    – Schützen der Daten in jeder Gesamtstruktur. Schutz für vertrauliche Daten, sodass nur Benutzer dieser Gesamtstruktur Zugriff darauf haben.

    – Abgrenzen der Verzeichnisreplikation in jeder Gesamtstruktur. Schemaänderungen, Konfigurationsänderungen und das Hinzufügen neuer Domänen zu einer Gesamtstruktur haben nur gesamtstrukturweite Auswirkungen innerhalb dieser Gesamtstruktur, aber keine Auswirkungen auf eine vertrauende Gesamtstruktur.
    …”

    Quelle: https://technet.microsoft.com/de-de/library/cc755700(v=ws.10)

Marc · 22. Januar 2013 um 11:55

Ich habe auch ein kleines Problem bei der Einrichtung. Meine Vertrauensstellung ist analog der Einrichtung oben konfiguriert. Möchte ich nun einen bestehenden Nutzer von der Quelldomäne in der Zieldomäne einer Gruppe oder Berechtigung zufügen, finden die jeweiligen Maschinen aus der Zieldomäne die User in der Quelldomäne nicht.

Wo kann hier der Fehler liegen?

    · 23. Januar 2013 um 19:06

    Hi Marc,

    die Ursachen können vielfältig sein. Wurde bi- oder unidirektional eingerichtet? Wenn es sich um einen unidirektionalen Trust handelt, sieht man die Vertrauenestellung nur in eine Richtung.

    Wurde der Trust auf beiden Gesamtstrukturen/Domänen eingerichtet? Sieht man in Domains & Trusts (domain.msc) die Domain? Wenn ja, wurde der Trust über die eingebaute Funktion validiert? Zusätzlich kann man mit NETDOM TRUST /Verify den Trust prüfen. Zusätzlich

    Namensauflösung der Domains muss in beide Richtung funktionieren. Prüfe das nochmal. Außerdem steht im Eventlog sicher einiges an Fehlern oder Warnung dazu drin. Da würde ich mit ansetzen.

Lars · 30. Dezember 2012 um 20:14

Gute Anleitung. Habe mich schon länger nicht mehr damit beschäftigen (müssen), genau die Anleitung bringt es auf den Punkt. Funktioniert auch bei 2012 praktisch noch identisch.

Gruss
Lars

Thomas Hendrich · 23. Juni 2012 um 12:43

Hi,

brauche DRINGEND Hilfe von euch … ich versuche gerade eine Vertrauensstellung zwischen einer 2003R2 Domäne und einer 2008R2 Domäne zu bauen aber es gelingt mir nicht. Vermutlicher Fehler dabei ist dass beide Domänen den gleichen NetBIOS Namen haben ( “alte Domäne” = DOMAIN.de, “neue Domäne” = DOMAIN.local ). Ich bin mir deshalb sicher das dies mein Problem ist, da ich problemlos eine Vertrauensstellung zwischen einer testweise erstellen Domäne ( DOMAIN-TEST.local ) und der “Alten” und auch der “Neuen” Domäne herstellen kann.

In eurem Beispiel hier mit contoso.com & contoso.dmz müsste doch der NetBIOS Name auch identisch gewesen sein ( CONTOSO )? War dem so? Wie habt ihr das dann geschafft?

Bitte DRINGEND Feedback!

Vielen Dank!

Gruß

Thomas

    · 25. Juni 2012 um 19:22

    Hallo Thomas,

    die NetBIOS-Namen der beiden Domänen Contoso.com und Contoso.dmz sind unterschiedlich, daher hat es funktioniert.
    Folgende Einstellungen überprüft die Local Security Authority (LSA) bevor ein Trust eingerichtet wird:

    NetBIOS-Name
    FQDN
    SID

    Wenn eine dieser drei Angaben identisch ist, kann kein Trust eingerichtet werden. Das gilt für sämtliche beteiligten Domänen und Gesamtstrukturen. In Ihrem Fall hilft nur das Umbenennen einer der zwei Domänen: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc794869(v=ws.10). Wichtig: die Requirements berücksichtigen.

    Viele Grüße,
    Mac

Vertrauensstellung zwischen 2 SRV2008 - MCSEboard.de MCSE Forum · 5. Dezember 2012 um 13:43

[…] zwischen 2 SRV2008 Hallo zusammen, ich wollte gerade nach dieser Anleitung Active Directory – Vertrauensstellung (Trust) einrichten | Prival Networx eine Vertrauensstellung zwischen 2 SRV2008 Std. R2 Servern einrichten. Ich habe eine bedingte […]

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.