[2000/2003] Opzetten domain trust wil niet lukken

Pagina: 1
Acties:

  • FaceDown
  • Registratie: Juni 2003
  • Laatst online: 04-02 22:51

FaceDown

Storende factor.

Topicstarter
We zijn een aardig groot bedrijf met veel lokaties en een groot WAN. Nu probeer ik tussen 2 lokaties een domain trust op te zetten.

Elke lokatie beschikt over een router. Het is mogelijk om elke willkeurige server en werkstation in het WAN te pingen.

Om een trust tot stand te brengen moet ik gebruik maken van WINS heb ik gelezen. Ik heb op Server A (Windows 2000) de volgende records in WINS geplaatst:

NAAM_DOMEIN_B [1Ch] Domain Controller 10.1.208.77
SERVERNAAM_B [00h] WorkStation 10.1.208.77
SERVERNAAM_B [03h] Messenger 10.1.208.77
SERVERNAAM_B [20h] File Server 10.1.208.77

Vervolgens kan ik de Server B (Windows 2003) ook pingen door 'ping SERVERNAAM_B' te gebruiken. Dat is dus goed lijkt me.

Alleen nu probeer ik een trust op te zetten. Ik voer daarvoor de NAAM_DOMEIN_B in bij 'trusting domain' op Server A en geef een password op. Dan volgt echter steeds de melding: "The NAAM_DOMEIN_B domain cannot be contacted".

Ik vraag me af of de door mij ingevoerde entries in WINS kloppen? Blijkbaar 'weet' Server A niet dat hij het domein NAAM_DOMEIN_B moet gaan zoeken op Server B?

Groetjes, FaceDown.


  • WaSteiL
  • Registratie: Juli 2003
  • Laatst online: 09:22
Het is handig om m.b.v. een conditionele forwarder eerst je DNS op orde te hebben. WINS is zover ik weet niet eens nodig.

Indien je 2003 hebt kan je een conditionele forwarder aanmaken die ervoor zorgt dat het het verkeer naar domain naamdomain.local doorgestuurd word naar de betreffende DNS servers. Het lijkt er nu op dat hij namelijk niet weet waar hij het domain moet vinden.

Ik zie nu dat je een 2000 server hebt. Daar kan je een secundaire zone aanmaken op je DNS server van de zone van het domain waar je een trust mee wil maken.

[ Voor 17% gewijzigd door WaSteiL op 30-08-2006 13:59 ]


  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 18:37
je pingt op NETBIOS naam, terwijl het hart van een MS netwerk (sinds 2000) DNS is.

Kun je ook pingen op FQDN :? en kunnen ze in elkaars DNS database kijken :?

Trek anders een secundaire zone naar elkaars server, of stel zoals hierboven vermeld "conditional forwarders" in.

PVOUPUT - 13.400WP - Twente


  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 17:00

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

WaSteiL schreef op woensdag 30 augustus 2006 @ 13:57:
Het is handig om m.b.v. een conditionele forwarder eerst je DNS op orde te hebben. WINS is zover ik weet niet eens nodig.
Grolsch schreef op woensdag 30 augustus 2006 @ 14:02:
je pingt op NETBIOS naam, terwijl het hart van een MS netwerk (sinds 2000) DNS is.
External Trusts werken nog steeds op basis van Netbios :) klik

TS: zit er ook een firewall tussen beide lokaties die Netbios blokt?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • FaceDown
  • Registratie: Juni 2003
  • Laatst online: 04-02 22:51

FaceDown

Storende factor.

Topicstarter
Ik heb de secundaire zones op elkaars servers gezet en dat werkt. Ik krijg bij het invoeren van een nieuwe trust de mogelijkheid om de admin login gegevens in te geven om de trust te valideren alleen dan volgt opeens de melding:

The secure channel (SC) reset on domain controller \\NAAM_SERVER_B.NAAM_DOMEIN_B of domein NAAM_DOMEIN_B to domain NAAM_DOMEIN_A failed with error: the specified domain either does not exist or could not be contacted.

Voordat die laatste zin vind ik bizar, aangezien wanneer ik een verkeerd admin password van domein B in voer hij wel met de melding komt dat het network password niet correct is.

Groetjes, FaceDown.


  • WaSteiL
  • Registratie: Juli 2003
  • Laatst online: 09:22
Question Mark schreef op woensdag 30 augustus 2006 @ 15:04:
[...]


[...]
External Trusts werken nog steeds op basis van Netbios :) klik

TS: zit er ook een firewall tussen beide lokaties die Netbios blokt?
Als je dat stukje goed gelezen had kon je zien dat als je Netbios geblocked had staan je een andere manier van name resolution moest hebben en dat je dit kon bereiken doormiddel van DNS (2003: conditional forwarding en 2000 met een secundaire zone).

NETBIOS is dus niet vereist, maar kan het opzetten van een trust wel voorspoedigen al zal je later alsnog via DNS aan de gang moeten. Een netwerk waar je name resolution alleen via NETBIOS namen gaat is heerlijk te beheren. :P

  • FaceDown
  • Registratie: Juni 2003
  • Laatst online: 04-02 22:51

FaceDown

Storende factor.

Topicstarter
Ik had de WINS entries verwijderd, nadat ik ze opnieuw erin had gezet werkte het opeens; ook vanuit de Windows 2003 server waarop dus geen WINS draait. Waarom het nu wel opeens werkt is me een raadsel maar goed het werkt dus perfect nu. :)

Groetjes, FaceDown.


  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 17:00

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

WaSteiL schreef op woensdag 30 augustus 2006 @ 15:49:
[...]
NETBIOS is dus niet vereist, maar kan het opzetten van een trust wel voorspoedigen al zal je later alsnog via DNS aan de gang moeten.
Hmm, is niet wat ik altijd begrepen heb, maar ik vermoed wel dat je gelijk hebt. Beide OS-sen zijn fully-aware van srv-records en kunnen via DNS keurig de benodigde DC's wel vinden. Als deze records maar geresolved kunnen worden (hetzij via secondary zones, of forwarders), dan zal het wel gaan werken.

In dit artikel staat onderaan overigens ook nog aangegeven welke poorten minimaal open moeten staan op een firewall voor een Trust. De netbios poorten staan hier inderdaad niet bij.

Thx! weer wat geleerd...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • WaSteiL
  • Registratie: Juli 2003
  • Laatst online: 09:22
Question Mark schreef op woensdag 30 augustus 2006 @ 18:54:
[...]
Hmm, is niet wat ik altijd begrepen heb, maar ik vermoed wel dat je gelijk hebt. Beide OS-sen zijn fully-aware van srv-records en kunnen via DNS keurig de benodigde DC's wel vinden. Als deze records maar geresolved kunnen worden (hetzij via secondary zones, of forwarders), dan zal het wel gaan werken.

In dit artikel staat onderaan overigens ook nog aangegeven welke poorten minimaal open moeten staan op een firewall voor een Trust. De netbios poorten staan hier inderdaad niet bij.

Thx! weer wat geleerd...
Ik ook weer.. samen komen we er wel. ;)
Pagina: 1