0
Domain Trust - GPO Terminalserver
Hi zusammen!
seit Tagen schlage ich mich nun schon mit meinem Problem herum und komme einfach nicht weiter, x verschiedene Recherchen und Lösungsversuche haben mich bisher leider nur im Kreis geführt. Da ich langsam am verzweifeln bin, hoffe ich innständig, dass Ihr mir helfen könnt...
Folgende Problemstellung:
Domains: Domain A, Domain B, Domain C (jeweils mit zwei DC's, Domain A: 2x 2008 R2, Domain B: 1x 2003, 1x 2008 R2, Domain B: 2x2008 R2)
In Domain B steht ein Terminalserver, an dem sich von Domain A Benutzer anmelden. Zwischen Domain A und Domain B besteht ein externer bidirektionaler tranistiver Trust. Domain C hat mit Domain B ebenfalls einen bidirektionalen transitiven Trust.
Die Anmeldung mit den Logindaten aus Domain A am Terminalserver in Domain B funktioniert. Hier fängt nun das eigentliche Problem an. Benutzer aus Domain A ziehen die GPO's für den Terminalserver nicht. In der GPO ist "Gesamtstrukturübergreifende Benutzerrichtlinien und servergespeicherte Benutzerprofile zulassen" aktiviert. Benutzeranmeldungen aus Domain C funktionierten mit GPO's perfekt.
Unterschiede zwischen Domain A und C:
Domain A ist über ein Site to Site VPN mit 10Mbit SDSL angebunden.
Domain A befindet sich in einem anderen Subnet (Domain B und C teilen sich eines)
Was funktioniert:
Wenn in den GPO's in Domain B ein Benutzer aus Domain A hinzugefügt wird, wird dieser korrekt aufgelöst.
FQDN's werden in Domain A und Domain B gegenseitig korrekt aufgelöst, Ping ist möglich.
Benutzeranmeldung von Domain A an Domain B funktioniert.
Dateizugriff Shares
Fehlermeldung auf dem Terminalserver:
Meldung bei gpupdate:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Benutzername konnte nicht
aufgelöst werden. Dies kann mindestens eine der folgenden Ursachen haben:
a) Fehler bei der Namensauflösung mit dem aktuellen Domänencontroller.
b) Active Directory-Replikationswartezeit (ein auf einem anderen Domänencontroll
er erstelltes Konto hat nicht auf dem aktuellen Domänencontroller repliziert).
gpresult /r:
INFO: Der Benutzer hat keine RSoP-Daten.
Was habe ich bisher versucht:
Trust auf verschiedene Weisen neu erstellt, DNS in Domain A komplett neu gemacht, Virenscanner deaktiviert, lokale Firewalls deaktiviert, dcdiag (scheint alles in Ordnung zu sein)
Ich geh' echt am Stock
seit Tagen schlage ich mich nun schon mit meinem Problem herum und komme einfach nicht weiter, x verschiedene Recherchen und Lösungsversuche haben mich bisher leider nur im Kreis geführt. Da ich langsam am verzweifeln bin, hoffe ich innständig, dass Ihr mir helfen könnt...
Folgende Problemstellung:
Domains: Domain A, Domain B, Domain C (jeweils mit zwei DC's, Domain A: 2x 2008 R2, Domain B: 1x 2003, 1x 2008 R2, Domain B: 2x2008 R2)
In Domain B steht ein Terminalserver, an dem sich von Domain A Benutzer anmelden. Zwischen Domain A und Domain B besteht ein externer bidirektionaler tranistiver Trust. Domain C hat mit Domain B ebenfalls einen bidirektionalen transitiven Trust.
Die Anmeldung mit den Logindaten aus Domain A am Terminalserver in Domain B funktioniert. Hier fängt nun das eigentliche Problem an. Benutzer aus Domain A ziehen die GPO's für den Terminalserver nicht. In der GPO ist "Gesamtstrukturübergreifende Benutzerrichtlinien und servergespeicherte Benutzerprofile zulassen" aktiviert. Benutzeranmeldungen aus Domain C funktionierten mit GPO's perfekt.
Unterschiede zwischen Domain A und C:
Domain A ist über ein Site to Site VPN mit 10Mbit SDSL angebunden.
Domain A befindet sich in einem anderen Subnet (Domain B und C teilen sich eines)
Was funktioniert:
Wenn in den GPO's in Domain B ein Benutzer aus Domain A hinzugefügt wird, wird dieser korrekt aufgelöst.
FQDN's werden in Domain A und Domain B gegenseitig korrekt aufgelöst, Ping ist möglich.
Benutzeranmeldung von Domain A an Domain B funktioniert.
Dateizugriff Shares
Fehlermeldung auf dem Terminalserver:
Meldung bei gpupdate:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Benutzername konnte nicht
aufgelöst werden. Dies kann mindestens eine der folgenden Ursachen haben:
a) Fehler bei der Namensauflösung mit dem aktuellen Domänencontroller.
b) Active Directory-Replikationswartezeit (ein auf einem anderen Domänencontroll
er erstelltes Konto hat nicht auf dem aktuellen Domänencontroller repliziert).
gpresult /r:
INFO: Der Benutzer hat keine RSoP-Daten.
Was habe ich bisher versucht:
Trust auf verschiedene Weisen neu erstellt, DNS in Domain A komplett neu gemacht, Virenscanner deaktiviert, lokale Firewalls deaktiviert, dcdiag (scheint alles in Ordnung zu sein)
Ich geh' echt am Stock
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 210953
Url: https://administrator.de/contentid/210953
Printed on: April 25, 2024 at 19:04 o'clock
