Domänenmigration: Vertrauensstellung zwischen Forests im Active Directory einrichten

    Check-Liste: Welche Funktionen soll das Mobile Device Management bieten? Kostenloses EMM-Whitepaper von baramundi herunterladen » (Anzeige)

    Trust-Relationship im Active DirectoryIn der Praxis kommt es gelegent­lich vor, dass AD-Gesamt­strukturen zusammen­geführt werden müssen, beispiels­weise nach der Fusion von Firmen. Bevor man die Konten für Benutzer und Computer oder Gruppen über­nehmen kann, muss man im ersten Schritt eine Vertrauens­stellung zwischen den Forests ein­richten.

    In meinem Beispiel soll eine bestehende Active-Directory-Domäne basierend auf Windows Server 2012 R2 (Contoso.local) auf eine neue Gesamt­struktur migriert werden (Roland.local). Die neue Domäne basiert auf Windows Server 2016.

    Achtung! Die folgende Anleitung demonstriert das Vorgehen in einer Testumgebung. Bitte prüfen Sie bei einem produktiv eingesetzten Active Directory genau, warum und zu welchem Zweck Sie eine Vertrauens­stellung zwischen zwei Domänen einrichten möchten.

    Vertrauensstellungen im Active Directory

    Es gibt im Active Directory zwei Arten von Vertrauens­stellungen, die bidirektionale und die unidirektionale:

    • Unidirektional ist quasi eine Einbahn­straße. Eine Domäne traut einer anderen, allerdings gilt das nicht umgekehrt. Benutzer, die sich in Contoso.local authentifiziert haben, könnten somit auf Ressourcen in Roland.local zugreifen, aber für User aus Roland.local bleiben die Ressourcen von Contoso.local unzugänglich.
    • Bidirektional bedeutet, dass authentifizierte Benutzer beider Domänen in der jeweils anderen Vertrauen genießen. Man könnte auch sagen, die bidirektionale Vertrauens­stellung wirkt wie zwei unidirek­tionale Vertrauens­stellungen.

    Unidirektionale versus bidirektionale Vertrauensstellungen im Active Directory

    Daneben unterscheidet man noch, ob die Vertrauens­stellung transitiv ist oder nicht. Transitiv heißt, dass eine Domäne die Vertrauens­stellung auch weiterleiten kann.

    Transitive Vertrauensstellung im Active DirectoryIn unserem Beispiel mit den Domänen Contoso.local, Roland.local und Corporate.local würde die Vertrauens­stellung von der Domain Contoso.local bis hin zur Domain Corporate.local gehen.

    Es muss also nicht zwingend eine Trust-Beziehung von Contoso.local über Roland.local bis zu Corporate.local bestehen, wenn die Domain in der Mitte (Roland.local) eine entsprechende Vertrauens­stellung zu beiden Domains hat.

    DNS-Weiterleitung einrichten

    Bevor es mit der Einrichtung der Vertrauens­stellung losgehen kann, muss die Namens­auflösung stimmen. Deshalb konfiguriere ich zuerst im DNS-Manager eine wechsel­seitige Weiter­leitung für beide Domänen-Controller/DNS Server, so dass jeder von ihnen die Namen für die Benutzer der jeweils anderen Domäne auflöst.

    Dafür öffnet man die Eigen­schaften der DNS-Server und wechselt zur Registerkarte Weiterleitungen. Die Schaltfläche Bearbeiten startet den Dialog zum Hinzufügen weiterer Name-Server.

    DNS-Weiterleitung im MMC-Snapin konfigurieren

    Konfiguration der Vertrauensstellung

    Danach kann ich mit dem MMC-Snapin Active Directory Domänen und Vertrauensstellung über den zuständigen Assistenten die Vertrauensstellung einrichten.

    Start des Assistenten zur Einrichtung einer neuen Vertrauensstellung

    Diesen startet man, indem man die Eigenschaften einer Domäne öffnet und dort die Schaltfläche Neue Vertrauensstellung betätigt.

    Name der Domäne für die neue Vertrauensbeziehung eingeben

    Hier gebe ich nun den Name der neuen Domäne (Zieldomäne) ein.

    Im nächsten Fenster muss nun Externe Vertrauensstellung und Gesamtstruktur­vertrauensstellung zu Auswahl stehen. Sollte dies nicht der Fall sein, konnte die Zieldomäne nicht richtig aufgelöst werden.

    Auswahl der Vertrauenstyps für die neue Vertrauensstellung

    Wenn Sie, wie im oberen Bild ersichtlich, eine transitive Vertrauens­stellungen nicht möchten, so dass ggf. auch noch andere Domänen Zutritt zu Ihrem Netzwerk erhalten, so haben Sie jetzt die Möglichkeit, Externe Vertrauensstellung auszuwählen.

    Im folgenden Fenster entscheide ich mich nun, ob es eine bidirektionale oder eine unidirektionale Vertrauens­stellung sein soll. In meinem Fall möchte ich, dass die beiden Domänen sich voll vertrauen und wähle bidirektional.

    Auswahl zwischen einer neuen uni- oder bidirektionalen Vertrauensstellung

    Im nächsten Schritt könnten wir uns auf Nur für diese Domäne beschränken. Das würde aber dann bedeuten, dass wir diesen ganzen Vorgang auf der anderen Domäne nochmal machen müssen. Daher wählen wir hier Für diese Domäne und die angegebene Domäne.

    Festlegung, ob die Vertrauensstellung nur für diese oder beiden Domänen gelten soll.

    Damit die Vertrauensstellung auch in der anderen Domäne (in unserem Fall roland.local) angelegt werden kann, benötigen wir einen Benutzer mit Administrator­rechten.

    Authentifizierung eines Administrators für das Einrichten einer neuen Vertrauensstellung

    In nächsten Dialog könnten wir den Zugriff zwischen den Domänen nur für bestimme Ressourcen zulassen. Ich möchte hier aber vollen Zugriff geben (Achtung: Es wird zweimal gefragt, jeweils einmal für jede Gesamtstruktur).

    Wahl der Authentifizierungsebene für die neue Vertrauensstellung

    Zuletzt gibt es die Zusammenfassung der bisherigen Konfiguration, die Schaltfläche Weiter führt zu den verbleibenden Schritten.

    Ausgehende Vertrauensstellung bestätigen

    Die Vertrauensstellung sollte auf jeden Fall bestätigt werden, wobei die Bestätigung auch hier für beide Seiten fällig ist. Nach dem Klicken auf Fertig stellen im letzten Dialog wird die Vertrauens­stellung auf beiden DCs eingerichtet.

    Wir können nun kurz prüfen, ob die Vertrauensstellung richtig funk­tioniert. Dazu gehe ich auf Eigenschaften und klicke danach auf Überprüfen.

    Prüfen, ob die neue Vertrauensstellung funktioniert

    Im folgenden Dialog klicken wir auf Ja, um die Informationen für das Routing der Namenssuffixe zu aktualisieren. Die Vertrauensstellung funktioniert soweit.

    Informationen für das Routing der Namenssuffixe aktualisieren

    Einen weiteren Test liefert das Active Directory mit dem Snapin Active Directory Benutzer und Computer. Hier versuche ich, der Gruppe Administratoren den Administrator aus der anderen Domäne unserer Vertrauensstellung hinzuzufügen.

    Die Vertrauensstellung lässt sich testen, indem man den Administator aus der anderen Domäne in die eigene Admin-Gruppe übernimmt

    Wir sehen beim Klicken auf Pfade bereits, dass die andere Domäne angezeigt wird und wählen diese aus.

    Der Benutzer Administrator wurde gefunden und kann in die Gruppe aufgenommen werden. Damit ist die Konfiguration der Vertrauens­stellung soweit abgeschlossen. Für die Migration folgt die Installation und Konfiguration des Active Directory Management Tool (ADMT).

    2 Kommentare

    Bild von Marc
    Marc sagt:
    13. Dezember 2017 - 9:22

    Sehr schöner Beitrag. Verständlich, kurz und schlüssig erklärt.

    Bild von Mr. Black
    Mr. Black sagt:
    20. Dezember 2017 - 14:33

    Hi,
    ist eine DNS-Weiterleitung tatsächlich das richtige Mittel um das Ziel zu erreichen? Ich nutze entweder eine bedingte Weiterleitung oder eine sekundäre Zone - je nach Stabilität der Verbindung zwischen den DNS-Servern der verschiedenen Domänen.

    LG
    Black