Trust Problem? - Gruppenmitgliedschaft wird nicht aufgelöst

15/10/2008 - 14:38 von Marcus | Report spam
Hi,

folgendes Problem. Domàne A und Domàne B.
In Domàne A stehen Terminalserver und Fileserver. Benutzer von Dom B greifen
bereits seit einiger Zeit auf die Fileserver von Dom A zu. Jetzt sollen sie
auch auf die Citrix Server von Dom A zugreifen. Problem ist, das wenn ich die
DomB\Domain Users in die Remote Desktopgruppe der loakeln Citrix Server
stecke, dann klappt das nicht. Fehlereldung vom Windows server, keine Recfhte.

Verbunden sind Dom A und B über einen External, nicht transitiven Trust.
Domànenmodus ist Windows 2003. Gesamtstruktur ist Windows 2003.
Weiter subdomains gibt es nciht.

Was auch nicht klappt ist, wenn ich die Dom B User in eine GG von DomB
stecke, die dann in eine DLG von Dom A und dann berechtige. Einzig und allein
wenn ich entweder User direkt auf dem ICA Protokoll bereichtige oder in eine
DLG von Dom A stecke dann geht es. Aber nicht Remote Desktop Gruppe.
Der Terminalserver scheint die Gruppenmitgliedschaft nicht aufzulösen

Keine Ahnung worans liegt. Einzig was ich noch gesehen habe ist, das in den
Eventlogs der Terminalserver und auch Domain Controller die Benutzer nicht
aufgelöst werden können. Da steht dann immer die SID drin.

Hat einer eine Idee, wo ich hier ansetzen könnte ?

Danke und Gruß
Marcus
 

Lesen sie die antworten

#1 Marcus
15/10/2008 - 16:57 | Warnen spam
Hallo,

noch ein Hinweis:

ich habe auf auf einem DC der DomA und DomB einen DCDiag und Netdiag
ausgeführt. Dcdiag auf beiden DCs ist sauber. Beim Netdiag kommt:

auf dem DC der DomA kommt:

DNS test . . . . . . . . . . . . . : Failed
[WARNING] The DNS entries for this DC are not registered correctly on
DNS server 'x.x.x.x'. Please wait for 30 minutes for DNS server replication.
[WARNING] The DNS entries for this DC are not registered correctly on
DNS server 'x.x.x.x'. Please wait for 30 minutes for DNS server replication.
[FATAL] No DNS servers have the DNS records for this DC registered.

auf dem DC der DomB kommt:

Trust relationship test. . . . . . : Passed
Secure channel for domain 'Dom B' is to '\\server'.

Auffàllig hier, das beim Trust Relationship Secure Channel von Dom A der
komplette DNS Name drinsteht, bei Dom B nur der Netbios Name.

Noch was: Auf dem Citrix Terminal Server bekomme ich folgender Security
Eintrag:

Fehlgeschlagene Anmeldung:
Grund: Dem Benutzer wurde der angeforderte
Anmeldetyp an diesem Computer nicht gestattet.
Benutzername: testuser
Domàne: DOM B
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: CTXSERVER

Benutzerabmeldung:
Benutzername: eastgate
Domàne: DOM B
Anmeldekennung: (0x0,0xBAAEDFDD)
Anmeldetyp: 2


Was ist der Anmeldetyp 2? Alle anderen Anmeldungen am Citrix Server haben
Anmeldetyp 3.

Danke und Gruß
Marcus


"Marcus" wrote:

Hi,

folgendes Problem. Domàne A und Domàne B.
In Domàne A stehen Terminalserver und Fileserver. Benutzer von Dom B greifen
bereits seit einiger Zeit auf die Fileserver von Dom A zu. Jetzt sollen sie
auch auf die Citrix Server von Dom A zugreifen. Problem ist, das wenn ich die
DomB\Domain Users in die Remote Desktopgruppe der loakeln Citrix Server
stecke, dann klappt das nicht. Fehlereldung vom Windows server, keine Recfhte.

Verbunden sind Dom A und B über einen External, nicht transitiven Trust.
Domànenmodus ist Windows 2003. Gesamtstruktur ist Windows 2003.
Weiter subdomains gibt es nciht.

Was auch nicht klappt ist, wenn ich die Dom B User in eine GG von DomB
stecke, die dann in eine DLG von Dom A und dann berechtige. Einzig und allein
wenn ich entweder User direkt auf dem ICA Protokoll bereichtige oder in eine
DLG von Dom A stecke dann geht es. Aber nicht Remote Desktop Gruppe.
Der Terminalserver scheint die Gruppenmitgliedschaft nicht aufzulösen

Keine Ahnung worans liegt. Einzig was ich noch gesehen habe ist, das in den
Eventlogs der Terminalserver und auch Domain Controller die Benutzer nicht
aufgelöst werden können. Da steht dann immer die SID drin.

Hat einer eine Idee, wo ich hier ansetzen könnte ?

Danke und Gruß
Marcus

Ähnliche fragen