Bei Serverumstellungen oder Firmenfusionen kommt es nicht selten zur Migration oder Zusammenlegung mehrerer Active Directory-Domänen. Hier kann eine Vertrauensstellung zwischen diesen Domänen sehr hilfreich sein. Sobald man zwei Forests verbindet, können die Ressourcen je nach Art der Einrichtung gemeinsam genutzt werden.
Allgemein
Zu Beginn muss man den Zweck der Vertrauensstellung klären, da dies die Art und Weise der Einrichtung beeinflusst. Dabei wird unterschieden zwischen einer undirektionalen und bidirektionalen Variante. Bei undirektional kann zum Beispiel Domäne X.local auf Y.local zugreifen, jedoch Y nicht auf X. Dies wäre mit bidirektional möglich. Anders ausgedrückt ist undirektional einseitig und bidirektional beidseitig.
DNS
Zu Beginn müssen die beiden Domänencontroller voneinander erfahren. Dazu braucht es den DNS-Server. Daher zunächst auf beiden Domänencontrollern die Servereigenschaften aufrufen und den Tab Weiterleitungen ansteuern. Dort anschließend den jeweils anderen DC als Weiterleitungsziel angeben.
Manager für Active Directory-Vertrauensstellungen
Daraufhin auf einem der Server, der auf die andere Domäne zugreifen soll, die Verwaltung für die Active Directory-Domänen und Vertrauensstellungen aufrufen. Daraufhin dort die Eigenschaften der lokalen Domäne öffnen und den Tab Vertrauensstellungen anwählen. Hier kann nun über die Schaltfläche Neue Vertrauensstellung der Assistent aufgerufen werden.
Assistent
Im Assistent zuerst die Zieldomäne, also die entfernte, angeben. Anschließend sollte man den Punkt Gesamtstrukturvertrauensstellung im nächsten Schritt anwählen können. Ist dies nicht der Fall, kann die Zieldomäne nicht aufgelöst werden. Nicht selten braucht der DNS-Server etwas, um die gemachten Änderungen zu verarbeiten. Es kann nicht Schaden, vor voreiligen Reaktionen eine halbe Stunde zu warten.
Funktioniert die Auswahl, darf man sich im nächsten Schritt auf die erklärten Variablen bidirektional oder undirektional festlegen. Wir arbeiten im Beispiel weiter mit bidirektional. Hier lässt sich danach bei der Erstellung der Vertrauensstellung zwischen einer Anwendung auf dieser Domäne oder dieser und der angegebenen Domäne wählen. Möchte man die Schritte am Zielserver nicht nochmal komplett durchgehen, sollte man den zweiten Punkt wählen.
Daraufhin müssen die Zugangsdaten für die Zieldomäne angegeben werden. Abschließend den nächsten Punkt mit Gesamtstrukturweite Authentifizierung bestätigen, außer ihr wollt nur bestimmten Benutzern Zugriff auf Ressourcen der Zieldomäne geben. Anschließend kann die Vertrauensstellung bestätigt und der Assistent beendet werden. Die Vertrauensstellung ist nun aktiv.
[…] Vertrauensstellung zwischen Domänen bei Windows Servern herstellen Windows-Fotoanzeige bei Windows Server 2016 aktivieren Lokale Benutzer bei Windows Server 2016 anlegen oder aktivieren […]