Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Server in AD nicht auffindbar (Vertrauensstellung, Securechannel, UserControl)

Frage Microsoft Windows Server

Mitglied: anaxagoras83

anaxagoras83 (Level 1) - Jetzt verbinden

09.12.2011, aktualisiert 18.10.2012, 7468 Aufrufe, 3 Kommentare

"Die Vertrauenssstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden".

Heute morgen war der Zugriff auf meinen Fileserver in der Domäne nicht mehr möglich. Die Fehlermeldung bei Zugiff auf die Shares sowie als ich mich direkt als Domänenadmin an die Maschine per RDP Anmelden wollte war: "Die Vertrauenssstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden".

Wir hatten in der Vergangenheit schon einmal Probleme mit dem Secure-Channel und dem DC.
Dieses mal scheint das Problem jedoch ein anderes zu sein. Nach einiger Recherche hier der erste Lösungsansatz:

1) Auf dem DC über die Kommandozeile:
- netdom.exe /reset /d: Domänenname.local Servername
- leider konnte ich den Befehl nicht erfolgreich ausführen, da ich die Rückmeldung erhielt: das der Zeilkontenname nicht verfügbar sei.
- Somit löschte ich das Computerkonto aus der AD und führte den o.g. Befehl erneut aus.
- Damit funktioniert zwar der generelle Zugriff, jedoch nur für ca. 25 Minuten.
- Danach musste ich den Server neu starten, da die Drucker und einige andere Dienste nicht funktionieren.
- Nach dem Neustart: Das gleiche Problem wieder..

2) zweiter Lösungsansatz:
- Server aus der Domäne entfernt.
- Server neu gestartet
- Server wieder in die Domäne genommen
- Server neu gestartet
- Test des Zugriffes: Drucker, Freigaben und WSUS wieder da.
- Problem: Ich kann das Computerkonto in meiner AD nicht finden.
- Es ist selbst nach zweimaligem neu-einbinden in die Domäne nicht sichtbar

3) Gerade habe ich noch einmal den Ereignislog des DCs durchgeschaut und folgendes Event gefunden:
- 1925 Warnung:

Protokollname: Directory Service
Quelle: Microsoft-Windows-ActiveDirectory_DomainService
Datum: 09.12.2011 12:05:31
Ereignis-ID: 1925
Aufgabenkategorie:Konsistenzprüfung
Ebene: Warnung
Schlüsselwörter:Klassisch
Benutzer: ANONYMOUS-ANMELDUNG
Computer: DC-Name.Domäne.local
Beschreibung:
Fehler beim Herstellen einer Replikationsverknüpfung mit der folgenden schreibbaren Verzeichnispartition.

Verzeichnispartition:
DC=Domäne,DC=local
Quellverzeichnisdienst:
CN=NTDS Settings,CN=GSGB01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Domäne,DC=local
Adresse des Quellverzeichnisdienstes:
0be56632-ca1c-415b-af7b-e2d90904f981._msdcs.Domäne.local
Standortübergreifende Übertragung (falls vorhanden):

Dieser Verzeichnisdienst kann nicht mit dem Quellverzeichnisdienst replizieren, solange das Problem nicht behoben ist.

Benutzeraktion
Überprüfen Sie, ob auf den Quellverzeichnisdienst zugegriffen werden kann und ob eine Netzwerkverbindung besteht.

Zusätzliche Daten
Fehlerwert:
8453 Der Replikationszugriff wurde verweigert.

- Eine Recherche bez. der Eventid, brachte mich auf einen KB-Artikel: http://support.microsoft.com/kb/329860/de

Die Lösungansätze dieses Artikels:
- Schritt 1: Das Computerkonto in der Domain Controllers Container verschieben:
-- Check. DC ist in der OU: Domain Controllers

- Schritt 2: Überprüfen der UserAccountControl-Eigenschaft
-- Ich habe gerade den ADSI-Editor geöffnet und die entsprechenden Attributeigenschaften offen.
-- Der Wert der hier eingetragen ist, ist: 69632 nicht wie angegeben: 532480
-- Dieser Artikel bezieht sich jedoch auf einen Server 2000 nicht 2008 R2 und somit habe ich ein wenig Angst, das mir eine solche Änderung (gerade deshalb weil ich den Hintergrund dieses Wertes nicht begreife) Schaden an meiner AD verursacht.
-- Sollte ich diesen Wert verändern, oder lieber in Ruhe lassen?

- Schritt 3: Zurücksetzen des sicheren Kanals-Kennworts
-- Mit diesem Fehler haben/hatten wir in der Vergangenheit zu kämpfen und nach dem Zurücksetzen des Secure-Channel-Kennwortes mittels Microsoft-Support dachten wir, das Problem sei behoben. Leider scheint es sich aber wieder zu zeigen.

Bevor ich nun die letzten beiden Schritte durchführe, würde ich gerne auf eine Rückmeldung der geballten Kompetenz aus dem Administrationsbereich warten, auch deshalb weil wir ja "noch" arbeiten können. Um so tiefer ich jedoch in die Recherche steige, desto mehr Angst habe ich, dass mir das Komplette AD-Konstrukt nun "um die Ohren fliegt."

Zur Hilfestellung hier noch einige Zusatzinformationen:

IBM-Server mit VMWARE ESXi
- Virtuelle Maschinen:
- Server 1: DC
- Server 2: FS, WSUS, Printserver
- Server 3: Exchange-Server
- Server 4: Terminalserver
(alle vier sind 2008 R2 Enterprise Server)
(...) Linuxmaschinen, Clients und Testsysteme
- Server 8: Sharepoint (2008 R2 Standard)

Zweitserver mit direkter Installation 2008 R2-Standard
- Fileserver für Windows-Backups (bradmin)
- zweit-DC für AD-Replikation

Vielen Dank für eure Zeit die Ihr alleine schon in das Lesen dieser Informationen steckt und möglicherweise auch Lösungsansätze oder denkanstöße..

Beste Grüße

Anaxagoras
Mitglied: 60730
09.12.2011 um 17:16 Uhr
moin,

STOP...

1) Auf dem DC über die Kommandozeile:
- netdom.exe /reset /d: Domänenname.local Servername

wär ja nicht mein erster Schritt....

  • an welchem DC wäre ich denn angemeldet
  • ping kreuz und quer
  • Uhrzeitenvergleich
  • Dienste anschauen
  • nslookup

2) zweiter Lösungsansatz:
- Server aus der Domäne entfernt.

Autsch...

Mach doch zuerst die banalen Sachen - bevor du an ADSEdit denkst...
Bitte warten ..
Mitglied: 2hard4you
09.12.2011 um 22:37 Uhr
Moin,

schau doch mal, ob die Zeit noch stimmt, ob der Server gültige Kerberostickets besitzt, einfach wie Timo sagt, die banalen Sachen, auch ein simples gpresult etc...

Gruß

24
Bitte warten ..
Mitglied: anaxagoras83
16.03.2012, aktualisiert 18.10.2012
Problem ist zwar noch nicht gelößt hat sich jedoch verhärtet und ich denke ich bin der ganzen Sache ein wenig näher gekommen:

Hier mein neuer Post mit einer entsprechenden Zusammenfassung:

http://www.administrator.de/forum/jeden-morgen-das-selbe.-vertrauensste ...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (1)

Frage von JulianOhm zum Thema Windows Server ...

Windows Server
gelöst AD Server 2016 (8)

Frage von erhardm zum Thema Windows Server ...

Windows Netzwerk
gelöst Windows Server 2012 R2 als Memberserver einem 2008 R2 AD hinzufügen (5)

Frage von diemilz zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...