Seit Windows Server 2003 ist es möglich, zwischen zwei Gesamtstrukturen eine Gesamtstrukturvertrauensstellung zu erstellen.
Das geht allerdings nur, wenn sich die Gesamtstruktur in dem Gesamtstrukturfunktionsmodus „Windows Server 2003“ befindet.
Eine Gesamtstruktur die in den Modus „Windows Server 2003“ gestuft werden soll, setzt voraus, das alle Domänen die sich in
der Gesamtstruktur befinden, auf dem Domänenfunktionsmodus „Windows Server 2003“ befinden.
Ein Zurückstufen der Ebenen, sei es der Domänenfunktionsmodus bzw. Gesamtstrukturfunktionsmodus ist im Nachhinein nicht mehr möglich!
Das Herauf stufen des Domänenfunktionsmodus kann entweder über das Snap-In „Active Directory-Benutzer und –Computer“ oder
„Active Directory-Domänen und -Vertrauensstellungen“ erledigt werden (mit einem Rechtsklick auf den FQDN),
wobei die Gesamtstruktur ausschließlich im Snap-In „Active Directory-Domänen und -Vertrauensstellung“ herauf gestuft werden kann.
Beides lässt sich ebenfalls durch bearbeiten (mit LDP.exe oder ADSIEdit.msc) des Attributs msDS-Behavior-Version herauf stufen.
Siehe auch:
How to raise domain and forest functional levels in Windows Server 2003
Welche Funktionen in den einzelnen Ebenen de- bzw. aktiviert sind, kann man hier nachlesen:
Funktionalität von Domänen und Gesamtstrukturen
Des Weiteren kann jederzeit, bei einer bereits existierenden Vertrauensstellung z.B. zwischen einer Windows 2000/2003- und einer NT-Domäne,
der Domänenfunktionsmodus der Windows 2000/2003 Domäne herauf gestuft werden.
Dieser Vorgang hat auf die Vertrauensstellung keinen Einfluss.
Unterschiede zwischen einer externen- und Gesamtstrukturvertrauensstellung (Cross-Forest)
1. Externe Vertrauensstellung
Bei einer externen Vertrauensstellung kann eine uni- oder bidirektionale Vertrauensstellung zu einer einzelnen Domäne (in einer separaten Gesamtstruktur)
eingerichtet werden. Diese Art einer Vertrauensstellung, ist nie transitiv. Eine externe Vertrauensstellung kann notwendig sein, wenn Benutzer Zugriff auf
Ressourcen einer „fremden“ Domäne einer anderen Gesamtstruktur brauchen und keine Gesamtstrukturvertrauensstellung besteht.
Dadurch wird eine explizite Vertrauensstellung nur zu dieser einen Domäne erstellt. Wenn diese Domäne weiteren Domänen vertraut,
bleibt der Zugriff auf die weiteren Domänen verwehrt.
Eine externe Vertrauensstellung wird ab Windows 2000 SP4 (und höher) sowie Windows Server 2003 Domänencontrollern,
durch die Sicherheitskennung (Security Identifiers, SIDs) -Filterung abgesichert. Die SID-Filterung verhindert, das z.B. ein Benutzer
mit Domänenadministratorrechten auf die vertrauenswürdige Domäne zugreifen kann und entweder seinem oder anderen Benutzerkonten in der Domäne,
höhere Benutzerrechte für die vertrauende Domäne einrichten kann.
Gründe für das Erstellen einer externen Vertrauensstellung
2. Gesamtstrukturvertrauensstellung
In einer Active Directory-Gesamtstruktur, sind alle Domänen durch eine transitive Zweiweg- Kerberos-Vertrauensstellung miteinander verbunden.
Gesamtstrukturvertrauensstellungen haben den Vorteil, das diese vollständige Kerberos-Integration zwischen Gesamtstrukturen bieten,
nämlich bidirektional und transitiv.
Bei einer Fusion zweier Unternehmen, wobei jedes Unternehmen seine eigene Windows Server 2003 Gesamtstruktur hat,
könnte eine Gesamtstrukturvertrauensstellung in Frage kommen. Denn damit könnten die Benutzer der Gesamtstruktur1,
auf die Ressourcen der Gesamtstruktur2 zugreifen (Zugriffsberechtigung vorausgesetzt), egal in welcher Domäne sich die Ressourcen befinden.
In Windows Server 2003 wurde eine neue Funktion eingeführt, die Fähigkeit, Konten über Domänenvertrauensstellungen hinweg,
selektiv zu authentifizieren. Beim einrichten einer Vertrauensstellung über das MMC-Snap-In „Active Directory-Domänen und -Vertrauensstellungen“,
gilt es an entsprechender Stelle die Auswahl zwischen einer „domänenweiten Authentifizierung“ oder „selektiven Authentifizierung“ zu treffen
(die später geändert werden kann). Bei einer selektiven Authentifizierung überprüfen Domänencontroller jedes einzelne Konto, ob es berechtigt ist,
auf Ressource in der Domäne zuzugreifen. Diese Variante wäre die sicherere, als z.B. die SID-Filterung.
Ein weiterer Punkt, ist das Namensuffixrouting zwischen Gesamtstrukturen. Dadurch hat man die Möglichkeit zu bestimmen,
wie Authentifizierungsanforderungen zwischen Gesamtstrukturen bei einer bestehenden Gesamtstrukturvertrauensstellung, weitergeleitet werden.
Bei Erstellung einer Gesamtstrukturvertrauensstellung werden zur Vereinfachung, alle eindeutigen Namensuffix weitergeleitet.
Eindeutige Namensuffixe innerhalb einer Gesamtstruktur, wären z.B. ein Dienstprinzipalnamen-Suffix (SPN),
ein Benutzerprinzipalnamen-Suffix (UPN) oder ein DNS-Domänenname [1].
Voraussetzungen um eine Vertrauensstellung unter Windows Server 2003 zu erstellen
Bevor eine Vertrauensstellung erstellt werden kann, muss zuerst eine Namensauflösung zwischen beiden Domänen/Gesamtstrukturen geschaffen werden.
Dies kann entweder über eine „bedingte Weiterleitung“ (conditional Forwarding) im DNS oder durch eine sekundäre DNS-Zone erreicht werden.
Es schadet auch nicht, die Namensauflösung zwischen Domänen (von NT/2000/2003 zu NT/2000/2003 Domänen)
weiterhin durch WINS (Replikation) zu sichern [2].
Bei einer Vertrauensstellung zu einer NT-Domäne, spielt WINS eine elementare Rolle.
Prüfliste: Erstellen einer Gesamtstrukturvertrauensstellung
Eine Vertrauensstellung erstellt man entweder über den Assistenten im Snap-In „Active Directory-Domänen und -Vertrauensstellung“ oder über NETDOM.
NETDOM befindet sich in den Windows Support Tools, die sich wiederum auf der Windows Server 2003 CD im Ordner Support/Tools befinden bzw. hier
heruntergeladen werden können:
http://www.microsoft.com/downloads/details.aspx?familyid=6EC50B78-8BE1-4E81-B3BE-4E7AC4F0912D&displaylang=en
Falls die Vertrauensstellung über NETDOM realisiert werden soll, so gilt es den Parameter „Trust“ anzugeben.
Beispiel: Um eine externe bidirektionale Vertrauensstellung einzurichten, gilt es folgenden Befehl in einer Kommandozeile einzugeben:
Netdom Trust <vertrauende Domäne> /d:<vertraute Domäne> /Add /Twoway
Netdom Examples
http://technet2.microsoft.com/WindowsServer/en/library/539c5381-db4f-445f-aac0-2df5448181c11033.mspx?mfr=true
Netdom Syntax
http://technet2.microsoft.com/WindowsServer/en/library/9f921edc-87f5-460e-89ee-9ca56ec1d0961033.mspx?mfr=true
Prinzipiell gilt:
Bevor eine Vertrauensstellung vom Local Security Authority (LSA) Prozess erstellt wird, prüft dieser die Eindeutigkeit folgender Auflistung:
- Den NetBIOS Namen der Domäne
- Den Fully Qualified Domain Name (FQDN) der Domäne
- Die Security Identifier (SID) der Domäne
Diese drei Punkte müssen eindeutig sein, da ansonsten keine Vertrauensstellung zu Stande kommt.
Falls beide Domänen den gleichen Namen haben sollten, ist es unter Windows Server 2003 möglich, eine von beiden Domänen umzubenennen [3].
Wenn die Domänen-SID gleich lautet, so muss eine von beiden Domänen de- und erneut installiert werden.
Diese Szenarien können eintreffen, wenn folgende Vorgehensweisen angewandt wurden:
- Eine Domäne wurde von der anderen geklont
- Nach dem installieren des Betriebssystems „Windows Server 2003“ auf einem Server, wurde dieser geklont und anschließend das SYSPREP nicht angewendet
Als Alternative kann eine von beiden Domänen, in eine neue Domäne (mit ADMT) migriert werden. Bei der Migration in eine neue Domäne,
kann dabei nicht auf die sIDHistory-Funktion zurückgegriffen werden. Denn auch nach einer erfolgreich erstellten Vertrauensstellung zur neu
erstellten Domäne, existieren duplizierte SIDs in den Benutzerzugriffstoken (User Access Token) [4].
Weitere Informationen:
[1] Gesamtstrukturübergreifendes Routing von Namensuffixen
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/ec5c297e-7f48-4db3-aae7-655b4b3c186f.mspx?mfr=true
[2] Wie sollte WINS konfiguriert werden?
http://www.faq-o-matic.net/2004/10/23/wie-sollte-wins-konfiguriert-werden/
[3] Windows Server 2003 Active Directory Domain Rename Tools
http://www.microsoft.com/technet/downloads/winsrvr/domainrename.mspx
[4] Access control in Active Directory
http://technet2.microsoft.com/WindowsServer/en/library/2f98f5b2-5e7e-4ff3-83a9-c32cf23329211033.mspx?mfr=true
Administration von Vertrauensstellungen für Domänen und Gesamtstrukturen
http://www.microsoft.com/germany/technet/prodtechnol/windowsserver/technologies/featured/ad/active-directory-betriebshandbuch-01.mspx
Support WebCast: Microsoft Windows Server 2003: Implementing an Active Directory Domain Rename Operation
http://support.microsoft.com/kb/819145/en-us
Error message when you create the trusted side of a trust between Windows Server 2003-based domains: “The parameter is incorrect”
http://support.microsoft.com/kb/930218/en-us
MS02-001: Forged SID could result in elevated privileges in Windows 2000
http://support.microsoft.com/kb/289243/en-us
Sind Vertrauensstellungen ohne NetBIOS-Namensauflösung möglich?
http://www.faq-o-matic.net/2006/07/01/sind-vertrauensstellungen-ohne-netbios-namensaufloesung-moeglich/
Windows Server 2003 Trust Enhancements
http://www.microsoft.com/technet/community/columns/profwin/pw0303.mspx
Comments are closed, but trackbacks and pingbacks are open.