ukulele-7
Goto Top

Active Directory Vertrauensstellung

Ich muss sagen das ist meine erste Vertrauensstellung. Ich habe sie in unserer alten AD ads.domain.local Windows 2003 und in unserer neuen AD ads2.intern.domain.de Windows 2012 R2 eingerichtet. Sie verläuft unidirektional und die domain.local traut der intern.domain.de . In der neuen Domäne kann ich nichts testen, in der alten Domäne wird mir "Überprüfen" angeboten und schon das schlägt fehl:

Die Verifizierung des sicheren Kanals auf dem Domänencontroller \\ads.domain.local der Domäne domain.local mit Domäne intern.domain.de ist fehlgeschlagen. Fehler: Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung.

Ich brauche wohl nicht erwähnen das ich keinerlei Objekte der vertauensvollen AD auf meinem alten DC nutzen kann (nach meinen Verständniss ist das ja vorgesehen).

DNS und nslookup liefern korrekt. Auf keinem DC ist derzeit eine Firewall aktiv.

Wo kann ich noch suchen? Ist Windows 2003 (nicht R2) vieleicht einfach zu alt?

Content-Key: 275654

Url: https://administrator.de/contentid/275654

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: keine-ahnung
keine-ahnung 25.06.2015 um 13:47:34 Uhr
Goto Top
Ist Windows 2003 (nicht R2) vieleicht einfach zu alt?
Ist nicht zufällig eine SBS?

LG, Thomas
Mitglied: ukulele-7
ukulele-7 25.06.2015 aktualisiert um 13:53:41 Uhr
Goto Top
Nein Windows Server 2003 Standard mit SP2 und fast allen Patches
Mitglied: ukulele-7
ukulele-7 25.06.2015 um 14:22:12 Uhr
Goto Top
Vieleicht habe ich auch irgendwas banales übersehen ich verstehe den Sinn der Meldung nicht mal. Muss ich jetzt ein Computerkonto für meinen alten DC auf "dem Server" (neuer DC?) anlegen?
Mitglied: wiesi200
wiesi200 25.06.2015 um 14:52:14 Uhr
Goto Top
Hallo,

ich sag mal zu 90% ein DNS Fehler.

Ich rate mal in's Blaue die neue Domain ist zweckst einer Domainmigration angelegt worden, und hat nicht den Sinn einer logischen Trennung?
Den Domaincontroller normal migrieren ist bei euch keine lösung?
Mitglied: rzlbrnft
rzlbrnft 25.06.2015 um 14:55:50 Uhr
Goto Top
Du musst die Domänen des jeweiligen anderen Domänencontrollers als Stub Domäne auf den DCs anlegen. So zieht er sich eine Kopie der DNS einträge und kann dann erst die DCs der anderen Domäne finden.
Mitglied: ukulele-7
ukulele-7 25.06.2015 um 14:57:40 Uhr
Goto Top
In der Tat eine Migration ist das Ziel aber es soll nicht der "normale" Weg genommen werden.

Ich habe auch grade gemerkt das nslookup auf ads2.intern.domain.de ins Internet läuft und nicht die IP von ads.domain.local liefert. Auf ads.domain.local bekomme ich ein ordnungsgemäßes nslookup auf intern.domain.de . Ich versteh nur mal wieder nicht warum, beide ADs sind auch DNS, beide haben bedingte Weiterleitungen für die jeweils andere Domain.
Mitglied: ukulele-7
ukulele-7 25.06.2015 um 15:38:08 Uhr
Goto Top
Okay das mit nslookup scheint seine "Richtigkeit" zu haben, wenn ich nslookup mit ads.domain.local. mache geht es. Warum steht hier gut beschrieben: https://www.faq-o-matic.net/2014/02/12/wenn-und-warum-nslookup-unerwarte ...

@rzlbmft
Ist eine Stub-Domain wirklich erforderlich oder reicht nicht auch eine DNS Weiterleitung? Ich habe versucht die Weiterleitung auf dem DC ads.domain.local raus zu nehmen und dafür eine Stub-Domain einzurichten aber das wird mir mit "Die Anforderung wird nicht unterstützt" verwehrt.
Mitglied: rzlbrnft
rzlbrnft 13.07.2015 um 12:57:20 Uhr
Goto Top
Bei mir hats erst nach dem Anlegen funktioniert. DNS-Weiterleitung hab ich nicht probiert, deswegen kann ich dazu nicht wirklich was sagen.
Mitglied: b-phase
b-phase 07.09.2015 um 14:03:33 Uhr
Goto Top
Hallo zusammen,
ich kämpfe auch bereits seit Tagen damit einen Trust zum Laufen zu bekommen. Es handelt sich um eine Vertrauensstellung zwischen einer Server 2003 und 2008 Domäne. Ich habe einen transitiven Trust auf beiden Domänen eingerichtet. Versuche ich nun diesen zu validieren, bekomme ich nach Eingabe des Benutzers für die Gegendomäne die Fehlermeldung: The specified domain either does not exist or could not be contacted.
Was ich gemacht habe:
- Auf den DCs beider Domänen ist in DNS die jeweilige Forward Zone eingetragen und kann auch per nslookup aufgelöst werden.
- alle benötigten Ports sind lt. prtqry.exe erreichbar
- Netwerkverbindungen zwischen den Domänen ist möglich
- Domänen sind per VPN verbunden
- mit ldifde lässt sich der Trust-Partner auch sauber anzeigen

zwei mögliche Probleme könnte ich mir noch vorstellen:
- es gibt irgendwelche Inkompatibilitäten zwischen einer 2003 und 2008 Domäne
- beide Domänennamen sind zu ähnlich, eine Domäne heisst "ort.intranet.domänenname.de" die andere "intranet.domänenname.de"

falls jemand noch einen Tipp hat wäre ich extrem dankbar.
danke und Gruß
Wolfgang
Mitglied: ukulele-7
ukulele-7 07.09.2015 um 14:33:23 Uhr
Goto Top
Hier hätte ich tatsächlich auch den Domänennamen in Verdacht. Da ich aber mit mehr-Domänen-Setups keine Erfahrung habe kann ich nur spekulieren.

In meinem Fall heißen die Domänen allerdings domain.lan und intern.domain.de.
Mitglied: b-phase
b-phase 15.09.2015 um 14:20:56 Uhr
Goto Top
kurze Rückmeldung: Vertrauensstellung läuft nun, hatte allerdings nichts mit der vermuteten Ursache zu tun. Habe einen neuen 2003 Server aufgesetzt und alle Domänenrollen übertragen. Anschließend konnte eine Vertrauensstellung eingerichtet werden. An irgendeiner Stelle hatte der alte Server wohl ein Problem, da ich auch nicht adprep ausführen konnte, was leider auch immer noch nicht möglich ist.