Active Directory – Vertrauensstellung (Trust) einrichten
März 21, 2010 in Microsoft, Technik
loading...
Ein Active Directory besteht in der Regel aus einem Forest (Gesamtstruktur). Dieser Forest kann unzählige Subdomänen besitzen um bestimmte Aufgaben zu delegieren. Doch in vielen Szenarien ist es erforderlich zwei oder mehrere Gesamtstrukturen zusammen zu schliessen. Erfolgt die Integration eines aufgekauften Unternehmens oder besteht eine Partnerschaft zu einer Firma, ist die Freigabe der Ressourcen oftmals notwendig.
Ein weiteres Szenarion könnte die Isolierung einer DMZ sein, in der Benutzer der internen Infrastruktur Zugriff auf die DMZ erhalten sollen. Eine Lösung sähe vor, eine dedizierte DMZ-Infrastruktur aufzubauen und diese durch einen Trust mit der internen Infrastruktur über eine gesicherte Verbindung zusammen zu schliessen. Dies fördert die Benutzerfreundlichkeit und damit die Akzeptanz einer hoch gesicherten Umgebung.
Ein Trust ist also ein Vertrauen zu einer bestimmten Domäne bzw. Forest. Dieses kann ein- oder beidseitig (uni- oder bidirektional) bestehen. Weiterhin ist es möglich dieses Vertrauen transitiv zu übermitteln. Vertraut Domäne A der Domäne B und vertraut Domäne A der Domäne C, dann wird dieses Vertrauen automatisch übertragen, respektive vertraut Domäne B der Domäne C. Welche Voraussetzungen müssen gegeben sein?
Voraussetzung 1: Konnektivität
Was als selbstverständlich gilt, ist unbedingt zu überprüfen. Es muss eine Netzwerkverbindung zwischen den Domänencontrollern der beiden Gesamtstrukuren bestehen. Dies erfolgt in der Regel über eine VPN- oder gesicherten IPSec-Verbindung. Dies geschieht entweder über entsprechende Gateways oder durch Einrichtung einer IPSec-Richtlinie. Diese kann der Einfachheit halber per GPO an die Domänencontroller verteilt werden. Was ist dabei zu beachten? Es sollten nur die benötigten Server als Ziel bzw. Quelle eingetragen werden. Sicherheit ist erforderlich, sodass sichergestellt wird, dass der Datenverkehr ausschliesslich verschlüsselt und/oder authentisch übermittelt wird. Es sollten nur sichere Methoden der Verschlüsselung/Integritätssicherstellung genutzt werden. Als potentiell unsicher gelten alte Algorithmen wie DES oder MD5.
Voraussetzung 2: Namensauflösung
Wenn Ressourcen genutzt werden ist es unabdingbar, dass sich die Domänen und deren Ressourcen gegenseitig auflösen können. Hierzu ist die Einrichtung einer Bedingten Weiterleitung (Conditional Forwarding) der Zieldomäne im DNS notwendig. Diese Funktionalität erschien erst mit dem Windows Server 2003. Unter Windows 2000 Server müssen die HOST-Einträge gepflegt werden.
Anschliessend ist die Auflösung über NSLOOKUP zu überprüfen. Besteht keine funktionsfähige Namensauflösung, schlägt die Einrichtung des Trusts fehl.
Wurden alle Voraussetzungen erfüllt, ist die Einrichtung der Vertrauensstellung nur noch Formsache. Über das Snapin “Active Directory-Domänen und -Vertrauensstellungen” (domain.msc) wird über ein Assistent der Trust eingerichtet. Dazu öffnet man die Eigenschaften der Quelldomäne.
Mittels “Neue Vertrauensstellung…” wird der benötigte Assistent aufgerufen.
Es folgt die Angabe der Zieldomäne.
Der Typ des Trust wird im anschließenden Fenster angegeben. Es gilt zu entscheiden, ob der Trust transitiv ist.
Die Sichtbarkeit der Domänen, respektive die Nutzung der Ressourcen einer Domäne, ist im nächsten Fenster anzugeben. Wird in beiden Richtungen vertraut, können Benutzer sowohl in der Ziel- als auch der Quelldomäne berechtigt werden.
Besitzt man den administrativen Zugang zu beiden Domänen, kann die Einrichtung des Trust auf beiden Seiten in einem Durchgang erledigt werden.
Hierzu gibt man den berechtigten Account der Zieldomäne an.
Wenn die Benutzer der Quelldomäne gleiche allgemeine Privilegien wie Benutzer der Zieldomäne besitzen sollen, muss dies in diesem Fenster ausgewählt werden. Eine alternative und sicherere Methode ist die selektive Authentifizierung. In diesem Modus werden nur explizite Berechtigungen vergeben. Diese Einstellung kann später in den Eigenschaften des Trust noch geändert werden.
Nach der Wahl der Einstellung erscheint die Übersicht der gewählten Angaben. Nach Bestätigung erfolgt die Einrichtung des Trust.
Abschließend kann eine Überprüfung der Vertrauensstellung durchgeführt werden, um sich von der korrekten Einrichtung zu überzeugen.
Jetzt können die Benutzer, Computer oder Gruppen einer Gesamtstruktur auf die Ressourcen des Forest berechtigt werden. Die Domäne ist nun sicht- und nutzbar.
Hi,
brauche DRINGEND Hilfe von euch … ich versuche gerade eine Vertrauensstellung zwischen einer 2003R2 Domäne und einer 2008R2 Domäne zu bauen aber es gelingt mir nicht. Vermutlicher Fehler dabei ist dass beide Domänen den gleichen NetBIOS Namen haben ( “alte Domäne” = DOMAIN.de, “neue Domäne” = DOMAIN.local ). Ich bin mir deshalb sicher das dies mein Problem ist, da ich problemlos eine Vertrauensstellung zwischen einer testweise erstellen Domäne ( DOMAIN-TEST.local ) und der “Alten” und auch der “Neuen” Domäne herstellen kann.
In eurem Beispiel hier mit contoso.com & contoso.dmz müsste doch der NetBIOS Name auch identisch gewesen sein ( CONTOSO )? War dem so? Wie habt ihr das dann geschafft?
Bitte DRINGEND Feedback!
Vielen Dank!
Gruß
Thomas
Hallo Thomas,
die NetBIOS-Namen der beiden Domänen Contoso.com und Contoso.dmz sind unterschiedlich, daher hat es funktioniert.
Folgende Einstellungen überprüft die Local Security Authority (LSA) bevor ein Trust eingerichtet wird:
NetBIOS-Name
FQDN
SID
Wenn eine dieser drei Angaben identisch ist, kann kein Trust eingerichtet werden. Das gilt für sämtliche beteiligten Domänen und Gesamtstrukturen. In Ihrem Fall hilft nur das Umbenennen einer der zwei Domänen: http://technet.microsoft.com/en-us/library/cc794869.aspx. Wichtig: die Requirements berücksichtigen.
Viele Grüße,
Mac
[...] zwischen 2 SRV2008 Hallo zusammen, ich wollte gerade nach dieser Anleitung Active Directory – Vertrauensstellung (Trust) einrichten | Prival Networx eine Vertrauensstellung zwischen 2 SRV2008 Std. R2 Servern einrichten. Ich habe eine bedingte [...]
Gute Anleitung. Habe mich schon länger nicht mehr damit beschäftigen (müssen), genau die Anleitung bringt es auf den Punkt. Funktioniert auch bei 2012 praktisch noch identisch.
Gruss
Lars
Ich habe auch ein kleines Problem bei der Einrichtung. Meine Vertrauensstellung ist analog der Einrichtung oben konfiguriert. Möchte ich nun einen bestehenden Nutzer von der Quelldomäne in der Zieldomäne einer Gruppe oder Berechtigung zufügen, finden die jeweiligen Maschinen aus der Zieldomäne die User in der Quelldomäne nicht.
Wo kann hier der Fehler liegen?
Hi Marc,
die Ursachen können vielfältig sein. Wurde bi- oder unidirektional eingerichtet? Wenn es sich um einen unidirektionalen Trust handelt, sieht man die Vertrauenestellung nur in eine Richtung.
Wurde der Trust auf beiden Gesamtstrukturen/Domänen eingerichtet? Sieht man in Domains & Trusts (domain.msc) die Domain? Wenn ja, wurde der Trust über die eingebaute Funktion validiert? Zusätzlich kann man mit NETDOM TRUST /Verify den Trust prüfen. Zusätzlich
Namensauflösung der Domains muss in beide Richtung funktionieren. Prüfe das nochmal. Außerdem steht im Eventlog sicher einiges an Fehlern oder Warnung dazu drin. Da würde ich mit ansetzen.