UCS zuständig für 2 Domains

german
samba
active-directory

#1

Hallo zusammen,

ich habe eine Domain mit UCS als DC und nun soll eine zweite Domain dazukommen. Ist es möglich das UCS zwei Domains verwalten kann?
Es sollte so sein das User X aus Domäne 1 auf Domäne 2 zugriff hat und umgekehrt. Quasi eine Vertrauensstelle mit UCS.


#2

Hallo Klaus,
ich glaube du müsstest etwas konkreter werden, was du mit der zweiten Domäne vor hast bzw. welche Dienste dort verwendet werden sollen.
Fraglich ist, warum du nicht eine Domäne für beides erstellst? Welche Hindernisse gibt es?

Einen Trust zwischen zwei UCS Domänen ist erstmal nicht vorgesehen und möglich.
Wenn es um Authentifizierung ginge, würde ein Kerberos-Trust dir vielleicht weiterhelfen (die Dienste welche von beiden Benutzern der Domänen genutzt werden sollen, müssen dann aber Kerberos machen).

Ganz vielleicht könnte man aber auch zu solchen Schweinereien wie AD Connector zwischen zwei UCS Domänen greifen (total ohne Gewähr ob das geht und funktioniert, der Dienst ist eigentlich nicht dafür ausgelegt!). Damit hätte man alle Benutzer in beiden Domänen (allerdings nur: same User, same Password; Kollision von gleichen Benutzernamen in den beiden Domänen müsste man bedenken etc.).

Beschreibe bitte mal genauer dein Szenario (welchen Dienst soll User X aus Domäne 1 in der Domäne 2 nutzen).

Viele Grüße,
Tobi


#3

Hallo Tobi,

ich habe das Problem das sich ein Win 2012 der als Terminalserver konfiguriert ist querstellt den Lizenzmanager zu aktivieren. Wegen dieser Fehler:
image

Deswegen hatte ich vor einen Terminalserver mit einer eigenen Domäne aufzusetzen und den dann über eine Vertrauensstellung mit der alten Domain zu verbinden. Das habe ich auch getestet, aber irgendwie bricht er bei der Verbindung über rdp mit dem Fehler ab das der Computer keine Berechtigung hätte für den Zugriff. ich denke das hängt mit dem Lizenzserver vom Terminalserver zusammen.

Lieber wäre es mir die erste variante würde gehen…

Gruß Klaus


#4

Hallo Klausz

also ich habe bei einem Kunden einen 2008r2 als TS in der UCS Domäne (war eine AD-Take-over installation) und habe jetzt in meiner UCS Domäne (reine UCS installation also neues AD) einen server2016 mit TS Diensten installiert und das funktionert ohne Probleme sieh screen shots :slight_smile:

Ich denke das das auch mit 2012 server funktionieren muss - habe leider keinen 2012er

lg
Christian


#5

Hallo Christian,

die Einstellungen sind im UCS genau so wie in deinem screen… Aber er behauptet immer noch das er keine Verbindung zum DC hat. Das komische ist ja das ich mich via RDP Anmelden kann. Das funktioniert…
Aber der Lizenzserver mag nicht, und das ist in 70 Tagen das nicht so gut :frowning:
Da läuft die Testlizenz ab…

Ich sehe gerade das es anscheinend ein Problem damit gibt das sich der Server an der UCS richtig anmeldet…

und das habe ich in der samba Log stehen

Gruß Klaus


#6

Also ich würde hier mal den 2012er Server aus der Domäne entfernen (2012 in workgroup und danach das Computer Objekt in der UCS löschen) und wieder neu joinen und dann sehen ob er diesen Fehler nochmal produziert

hast du vielleicht den UCS DC einmal auf einen snapshot zurückgedreht oder aus einem Backup recovered ? (Das sollte man bei einem DC auf keinen Fall machen wegen der Timestamps)

lg
Christian

Hier habe ich noch einen Eintrag gefunden der ähnliche Probleme mit einem User Account hat:

der Wert des User Accounts unter userAccountControl: sollte 512 sein für einen normalen status wenn dieser abweicht wie eben in dem link mit userAccountControl: 528 was der status locked out ist z.B. dann setze den mal auf 512
aber ich denke das das ein folgefehler mit einer anderen fehlerquelle ist - darum würde ich den 2012er server mal aus der Domäne nehmen und wieder neue beitreten lassen


#7

Hallo Christian,

ich habe den 2012 aus der Domäne entfernt und danach wieder eingebunden. Nun funktioniert es…

Danke