Der Titel ist etwas reißerisch, aber im Grunde kann man relativ schnell eine Vertrauensstellung zwischen zwei Active Directory-Domänen aufbauen.

Freilich sollte der Typ einer Vertrauensstellung geklärt sein und wer wem überhaupt vertrauen soll. “Gut geplant ist halb gebaut” eben. In den allermeisten Fällen reicht eine “Externe Vertrauensstellung (External Trust)” und um diese geht es nachfolgend.

Voraussetzung(en)

Damit zwischen zwei Domänen überhaupt eine Vertrauensstellung hergestellt werden kann, müssen sich beide erreichen können. Der Klassiker zwischen zwei Firmen bzw. Standorten wäre ein Site-to-Site VPN. Passt also schon mal die Erreichbarkeit mittels IP, geht es direkt mit DNS weiter.

Bedingte Weiterleitung einrichten

  • Auf beiden Seiten im “DNS-Manager” mit der rechten Maustaste auf “Bedingte Weiterleitungen” klicken und “Neuer bedingte Weiterleitung…” auswählen.
  • Man gibt die jeweils gegenüberliegende Domäne an und trägt die IP-Adresse(n) eines oder mehrere Domänencontroller (die auch DNS-Server sind) ein.
  • Nun prüft man beispielsweise mittels “nslookup <Domäne oder ein Server der Gegenstelle>” in der Eingabeaufforderung ob die Namensauflösung funktioniert.

Hinweis: Klappt dieser erste Test nicht obwohl alle Firewall-Einstellungen richtig sind, dann die bedingte Weiterleitung löschen und nochmals neu anlegen.

Vertrauensstellung einrichten

Es gibt mehre Arten von Vertrauensstellungen, in diesem Beitrag wird vom einfachsten Fall ausgegangen. Weitere Informationen finden sich in den unten angegebenen Quellen.

  • Das MMC “Active Directory-Domänen und -Vertrauensstellungen” öffnen.
  • Die Domäne mit der rechten Maustaste anklicken und “Eigenschaften” auswählen.
  • Zur Registerkarte “Vertrauensstellungen” wechseln.
  • Auf “Neue Vertrauensstellung…” klicken.
  • Die Domäne der Gegenstelle als Namen eintragen.
  • “Externe Vertrauensstellung” auswählen.
  • “Bidirektional” auswählen.
  • “Nur für diese Domäne” auswählen.
  • “Domänenweite Authentifizierung” auswählen.
  • Ein “Vertrauensstellungskennwort” festlegen.
  • Die Vorauswahl bei “Nein, die ausgehende Vertrauensstellung nicht bestätigen” belassen. Das Gleiche gilt für die nächste Abfrage.

Den Vorgang auf der anderen Seite wiederholen und dort die gegenüberliegende Domäne sowie das zuvor festgelegte Kennwort eintragen.

Die Vertrauensstellung überprüfen

Ob eine Vertrauensstellung funktioniert, lässt sich mit einer einfachen Überprüfung feststellen:

  • Das MMC “Active Directory-Domänen und -Vertrauensstellungen” öffnen.
  • Die Domäne mit der rechten Maustaste anklicken und “Eigenschaften” auswählen.
  • Zur Registerkarte “Vertrauensstellungen” wechseln.
  • Nun kann man die jeweilige Domäne auswählen und in deren Eigenschaften auf “Überprüfen” klicken.

Hinweis: Für diese Überprüfung werden die administrativen Anmeldedaten der Gegenstelle benötigt!

Ressourcen berechtigen und auf diese Zugreifen

Damit beispielsweise auf Freigaben der jeweils anderen Domäne zugegriffen werden kann, muss der Benutzer bzw. die Gruppen für die jeweilige Ressource entsprechend berechtigt sein:

  • In den Freigabeberechtigungen nach dem Klick auf “Hinzufügen” auf “Pfade” klicken und die andere Domäne auswählen.
  • Nun die entsprechende Gruppe auswählen und mit “OK” hinzufügen.

Hinweis: Ggf. müssen die NTFS-Rechte ebenfalls angepasst werden.

Damit der Zugriff möglich ist, muss zudem der FQDN verwendet werden. Bein Beispiel:

\\srv01.lab.local\share

Die Angabe nur von “srv01” reicht nicht!

Quellen

forsenergy – Erstellen einer externen Vertrauensstellung

MSXFAQ – Domaintrust

Der Windows Papst – Server 2012R2 Domänen Vertrauensstellung einrichten

Der Windows Papst – Externe Vertrauensstellung zwischen zwei Domänen

IP Insider – 10 Tipps für Vertrauensstellungen in Active Directory

Prival Networx – Active Directory: Vertrauensstellung (Trust) einrichten

itopia – Creating an Active Directory Trust

Ähnliche Artikel:

  1. Windows: Active Directory-Migration von Windows Server 2003 auf Windows Server 2012 R2
  2. Windows: Persönliche Best-Practice für den ersten Windows-Domänencontroller im Netzwerk
  3. Windows: Active Directory-Migration von Windows 200x auf Windows Server 2008 R2 – Eine Kurzanleitung
  4. Windows: Gruppenrichtlinienobjekte sichern und importieren
  5. Windows: MDaemon und Active Directory