Domänenmigration: Vertrauensstellung zwischen Forests im Active Directory einrichten

Achtung! Die folgende Anleitung demonstriert das Vorgehen in einer Testumgebung. Bitte prüfen Sie bei einem produktiv eingesetzten Active Directory genau, warum und zu welchem Zweck Sie eine Vertrauens­stellung zwischen zwei Domänen einrichten möchten.

Vertrauensstellungen im Active Directory

Es gibt im Active Directory zwei Arten von Vertrauens­stellungen, die bidirektionale und die unidirektionale:

• Unidirektional ist quasi eine Einbahn­straße. Eine Domäne traut einer anderen, allerdings gilt das nicht umgekehrt. Benutzer, die sich in Contoso.local authentifiziert haben, könnten somit auf Ressourcen in Roland.local zugreifen, aber für User aus Roland.local bleiben die Ressourcen von Contoso.local unzugänglich.
• Bidirektional bedeutet, dass authentifizierte Benutzer beider Domänen in der jeweils anderen Vertrauen genießen. Man könnte auch sagen, die bidirektionale Vertrauens­stellung wirkt wie zwei unidirek­tionale Vertrauens­stellungen.

Daneben unterscheidet man noch, ob die Vertrauens­stellung transitiv ist oder nicht. Transitiv heißt, dass eine Domäne die Vertrauens­stellung auch weiterleiten kann.

In unserem Beispiel mit den Domänen Contoso.local, Roland.local und Corporate.local würde die Vertrauens­stellung von der Domain Contoso.local bis hin zur Domain Corporate.local gehen.

Es muss also nicht zwingend eine Trust-Beziehung von Contoso.local über Roland.local bis zu Corporate.local bestehen, wenn die Domain in der Mitte (Roland.local) eine entsprechende Vertrauens­stellung zu beiden Domains hat.

DNS-Weiterleitung einrichten

Bevor es mit der Einrichtung der Vertrauens­stellung losgehen kann, muss die Namens­auflösung stimmen. Deshalb konfiguriere ich zuerst im DNS-Manager eine wechsel­seitige Weiter­leitung für beide Domänen-Controller/DNS Server, so dass jeder von ihnen die Namen für die Benutzer der jeweils anderen Domäne auflöst.

Dafür öffnet man die Eigen­schaften der DNS-Server und wechselt zur Registerkarte Weiterleitungen. Die Schaltfläche Bearbeiten startet den Dialog zum Hinzufügen weiterer Name-Server.

Konfiguration der Vertrauensstellung

Danach kann ich mit dem MMC-Snapin Active Directory Domänen und Vertrauensstellung über den zuständigen Assistenten die Vertrauensstellung einrichten.

Diesen startet man, indem man die Eigenschaften einer Domäne öffnet und dort die Schaltfläche Neue Vertrauensstellung betätigt.

Hier gebe ich nun den Name der neuen Domäne (Zieldomäne) ein.

Im nächsten Fenster muss nun Externe Vertrauensstellung und Gesamtstruktur­vertrauensstellung zu Auswahl stehen. Sollte dies nicht der Fall sein, konnte die Zieldomäne nicht richtig aufgelöst werden.

Wenn Sie, wie im oberen Bild ersichtlich, eine transitive Vertrauens­stellungen nicht möchten, so dass ggf. auch noch andere Domänen Zutritt zu Ihrem Netzwerk erhalten, so haben Sie jetzt die Möglichkeit, Externe Vertrauensstellung auszuwählen.

Im folgenden Fenster entscheide ich mich nun, ob es eine bidirektionale oder eine unidirektionale Vertrauens­stellung sein soll. In meinem Fall möchte ich, dass die beiden Domänen sich voll vertrauen und wähle bidirektional.

Im nächsten Schritt könnten wir uns auf Nur für diese Domäne beschränken. Das würde aber dann bedeuten, dass wir diesen ganzen Vorgang auf der anderen Domäne nochmal machen müssen. Daher wählen wir hier Für diese Domäne und die angegebene Domäne.

Damit die Vertrauensstellung auch in der anderen Domäne (in unserem Fall roland.local) angelegt werden kann, benötigen wir einen Benutzer mit Administrator­rechten.

In nächsten Dialog könnten wir den Zugriff zwischen den Domänen nur für bestimme Ressourcen zulassen. Ich möchte hier aber vollen Zugriff geben (Achtung: Es wird zweimal gefragt, jeweils einmal für jede Gesamtstruktur).

Zuletzt gibt es die Zusammenfassung der bisherigen Konfiguration, die Schaltfläche Weiter führt zu den verbleibenden Schritten.

Die Vertrauensstellung sollte auf jeden Fall bestätigt werden, wobei die Bestätigung auch hier für beide Seiten fällig ist. Nach dem Klicken auf Fertig stellen im letzten Dialog wird die Vertrauens­stellung auf beiden DCs eingerichtet.

Wir können nun kurz prüfen, ob die Vertrauensstellung richtig funk­tioniert. Dazu gehe ich auf Eigenschaften und klicke danach auf Überprüfen.

Im folgenden Dialog klicken wir auf Ja, um die Informationen für das Routing der Namenssuffixe zu aktualisieren. Die Vertrauensstellung funktioniert soweit.

Einen weiteren Test liefert das Active Directory mit dem Snapin Active Directory Benutzer und Computer. Hier versuche ich, der Gruppe Administratoren den Administrator aus der anderen Domäne unserer Vertrauensstellung hinzuzufügen.

Wir sehen beim Klicken auf Pfade bereits, dass die andere Domäne angezeigt wird und wählen diese aus.

Der Benutzer Administrator wurde gefunden und kann in die Gruppe aufgenommen werden. Damit ist die Konfiguration der Vertrauens­stellung soweit abgeschlossen. Für die Migration folgt die Installation und Konfiguration des Active Directory Migration Tool (ADMT).