Hallo Stefan, > geht leider nicht. Liegt aber eher daran, dass ein global-Catalog nur für > alle DCs einer Domain gilt. In meinem Fall ist es ja eine zweite > unabhängige Domäne :(
Das stimmt so nicht ganz. Einen GC (Global Catalog) gibt es pro Gesamtdomäne und nicht pro Einzeldomäne. Wenn du Subdomänen machst hast du trotzdem nur einen GC. Wenn du zwei voneinander unabhängige Domänen Trustest (über einen External Trust) dann hast du 2 GCs. Dein Szenario funktioniert trotzdem (ich habe dein SOLVED gelesen), weil der Teufel v.a. im Kerberos-Detail steckt. > (Kerberos ist erstmal nicht möglich) Zum Thema Kerberos: Cross-Realm-Kerberos (sprich: Domänen-übergreifend) funktioniert mit Windoof-Clients nur wenn die Domäne, an der der Benutzer am Windoof-Client angemeldet ist (in welcher Domäne der Maschinen-Account steckt ist irrelevant) den gleichen GC hat als die Domäne in die er authentifizieren will. Das schließt einen External Trust kategorisch aus. Hintergrund: Windoof- Clients fragen ausschließlich ihren eigenen GC nach dem SPN (Service Principal Name). Kennt der eigene GC den SPN aus der fremden Domäne nicht dann geht auch nix. Unixoide Clients sind hier besser dran: Wenn Windows-Domäne deckungsgleich mit jeweils einer DNS-Domain, dann kann man über "Domain Realms" (/etc/krb5.conf o.vgl.) dem Client beibringen, daß er bei Services der DNS-Domain A die Windows-Domäne A und bei DNS-Domain B die WIndows-Domäne B befragt. Hintergrundinfos zu den verschiedenen Trust-Typen: http://technet.microsoft.com/en-us/library/cc775736(v=ws.10).aspx Viele Grüße, Robert _______________________________________________ lug-ts mailing list [email protected] http://www.lug-ts.de/mailman/listinfo/lug-ts
