AlexST 11 Geschrieben 7. August 2015 Melden Teilen Geschrieben 7. August 2015 Hallo, ich möchte gern eine Bidirektionale Vertrauensstellung zwischen zwei Domains erstellen. Standort 1: DC01 (Windows 2008R2) Domain: schulung.ort1.local Domain und Gesamtfunktions Windows 2008R2 Standort 2: DC01 (Windows 2012R2) Domain: schulungs.ort2.local Domain und Gesamtfunktions Windows 2012R2 Folgendes habe ich gemacht: Site to Site Verbdindung aufgebaut (funktioniert) beide DC sind Pingbar und sehen "" sich auch Weiterleitungen eingerichet Jetzt ins AD Vertrauenstellung, Eigenschaften auf die Domain und Neue Vertrauenstellung versucht anzulegen. Soweit geht alles gut vorran. Nach der Eingabe der Adminzugangsdaten für die Partnerdomain kommen noch 2 Fragen für den Zugriff und bei der letzen Seite wo Vertrauensstellung abgeschlossen steht kommt die Fehlermeldung " Fehler beim Vorgang: Dieser Vorgang kann nicht auf der aktuellen Domain ausgeführt werden" Fehlermeldung kommen auf beiden Servern die gleichen. Evtl. habe ich auch nur einen kleinen Denkfehler. Vielen Dank Alex Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 7. August 2015 Melden Teilen Geschrieben 7. August 2015 (bearbeitet) Nicht an die DNS-Namensauflösung gedacht? Bedingte Weiterleitung nicht eingerichtet? http://letmebingthatforyou.com/?q=Vertrauensstellung%20DNS%20Bedingte%20Weiterleitung bearbeitet 7. August 2015 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
AlexST 11 Geschrieben 9. August 2015 Autor Melden Teilen Geschrieben 9. August 2015 @ Daniel danke für die Antwort. Ich hätte mich genauer ausdrücken sollen. "Weiterleitung eingerichtet" hatte ich ja oben geschrieben. Damit war die Einrichtung der Bedingten Weiterleitung gemeint. Grüße Alex Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 9. August 2015 Melden Teilen Geschrieben 9. August 2015 (bearbeitet) Ist dsr Netbios-Name der Domänen gleich, also heissen die beide SCHULUNG? Wurden die Server gecloned ihn Sysprep auszuführen? Gibt es eine Firewall zwischen beiden Domänen oder einen Router, der eventuell den Verkehr filtert? Mach mal von beiden Domänencontrollern jeweils ein Ping auf den eigenen und den fremden Domänennamen und zwar einmal auf den DNS- und einmal auf den Netbios-Namen. Stell du Ergebnisse hier fein. Dazu bitte auch ein ipconfig /all von beiden DCs. bearbeitet 9. August 2015 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
AlexST 11 Geschrieben 10. August 2015 Autor Melden Teilen Geschrieben 10. August 2015 (bearbeitet) Hallo Daniel, nein die Server sind nicht gecloned worden,sondern bei der Heraufstufung ist jeweils schulung.ort1.local und schulung.ort2.local ausgewählt worden. Derzeit ist auf beiden Seiten die Firewall deaktiviert, Filter sind keine eingerichtet. Sind übrigens 2x LanCom. Ping mit IP klappt im Standort 1 auf sich selber und auf den anderen im Standort 2 Ping mit DNS klappt im Standort 1 auf sich selber und auf den anderen im Standort 2 Ping mit NETBIOSNAME auf sich selber im Standort 1 klappt auf seine IP, in den Standort 2 auf die IP Adresse ebenfalls. Ping mit IP klappt im Standort 2 auf sich selber und auf den anderen im Standort 1 Ping mit DNS klappt im Standort 2 auf sich selber und auf den anderen im Standort 1 Ping mit NETBIOSNAME auf sich selber im Standort 2 klappt auf seine IP, in den Standort 1 auf die IP Adresse auf die falsche IP Adresse (192.168.1.250 kommt es ab, muss aber auf die 192.168.1.160) Info der DC hat 2 NIC´s ipconfig /all Standort 2 Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : SRV-XX-DC01 Primäres DNS-Suffix . . . . . . . : schulung.ort2.local Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : schulung.ort2.local Ethernet-Adapter Ethernet: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft Hyper-V-Netzwerkadapter Physische Adresse . . . . . . . . : DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv4-Adresse . . . . . . . . . . : 192.168.2.162(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.2.1 DNS-Server . . . . . . . . . . . : 127.0.0.1 192.168.1.160 NetBIOS über TCP/IP . . . . . . . : Aktiviert Tunneladapter isatap.{19369C89-E9E9-4F04-AA29-2E6728496EBA}: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter Physische Adresse . . . . . . . . : DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Tunneladapter Teredo Tunneling Pseudo-Interface: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface Physische Adresse . . . . . . . . : DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Ipconfig /all Standort 1 Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : DC01 Primäres DNS-Suffix . . . . . . . : schulung.ort1.local Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Ja WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : schulung.ort1.local Ethernet-Adapter LAN-Verbindung 4: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller #2 Physikalische Adresse . . . . . . : DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv4-Adresse . . . . . . . . . . : 192.168.1.250(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : DNS-Server . . . . . . . . . . . : 192.168.1.160 192.168.2.162 NetBIOS über TCP/IP . . . . . . . : Aktiviert Ethernet-Adapter LAN-Verbindung 3: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : LAN-Verbindung - Virtuelles Netzwerk Physikalische Adresse . . . . . . : DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Verbindungslokale IPv6-Adresse . : XXX::ec4b:XXXX:dd1a:XXXXXX(Bevorzugt) IPv4-Adresse . . . . . . . . . . : 192.168.1.160(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.1.245 DHCPv6-IAID . . . . . . . . . . . : DHCPv6-Client-DUID. . . . . . . . : DNS-Server . . . . . . . . . . . : ::1 127.0.0.1 NetBIOS über TCP/IP . . . . . . . : Aktiviert Tunneladapter isatap.{XXX}: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Tunneladapter Teredo Tunneling Pseudo-Interface: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Tunneladapter isatap.{A67FBCFF-A03E-4F5F-A8A6-57756819BA1F}: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2 Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Grüße Alex bearbeitet 10. August 2015 von AlexST Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 10. August 2015 Melden Teilen Geschrieben 10. August 2015 (bearbeitet) Wie heißen die netbios Namen der Domänen? Und multihomed Dcs sind keine gute Idee :rolleyes: bearbeitet 10. August 2015 von NorbertFe Zitieren Link zu diesem Kommentar
AlexST 11 Geschrieben 10. August 2015 Autor Melden Teilen Geschrieben 10. August 2015 Huhu Norbert, ja heißen beide SCHULUNG Was meinst du mir Multihomes Dc´s? Grüße Alex Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 10. August 2015 Melden Teilen Geschrieben 10. August 2015 Zwei Domains die den selben NETBIOS Namen haben können keine Vertrauensstellung haben. Hat dir Daniel schon gesagt. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 10. August 2015 Melden Teilen Geschrieben 10. August 2015 (bearbeitet) Huhu Norbert, ja heißen beide SCHULUNG Was meinst du mir Multihomes Dc´s? Grüße Alex Wegen der gleichen Netbios-Namen hat Norbert ja schon geschrieben. Mutli-Homed sind Server mit mehreren Netzwerkkarten. Das ist bei DCs nicht so einfach zu konfigurieren und nicht empfohlen. Warum hat DC01 zwei Netzwerkkarten in dem gleichen Netzwerksegment mit unterschiedlichen IP-Adressen und dazu noch RAS-Interfaces? Die Konfiguration der DNS-Resolver von SRV-XX-DC01 ist falsch. Warum hat der die .160 da mit drin? Bei DC01 genauso, warum ist dort eine .162 drin? Wer ist das? Siehe dazu auch https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ - Du hast ja hier zwei unabhängige Gesamtstrukturen. Wegen Cloning hatte ich gefragt, ob als Basis für die beiden DCs die gleiche Installation genommen und kopiert wurde. Da werde ich aus Deiner Antwort nicht schlau. Wurden die beiden VMs separat installiert oder wurde die eine nach der Grundinstallation auch als Vorlage für die zweite genommen? Wenn ja, wurde sie mit Sysprep generalisiert, bevor sie zum Domaincontroller hochgestuft wurde? bearbeitet 10. August 2015 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
AlexST 11 Geschrieben 11. August 2015 Autor Melden Teilen Geschrieben 11. August 2015 Hallo, okay das mit den NETBIOS Namen ist ein Problem. Ich habe was gefunden und versuche die nach der Anleitung mal zu ändern. Die Strucktur habe ich so übernommen und habe daran nix geändert. Also was den DC01 angeht. Ich vermute mal das der alte Admin auch eine RAS Kiste zusätzlich machen wollte. Zum DNS Resolver. Ich hatte die nach einer Anleitung eingetragen die verweisen immer auf den DNS der anderen Domain. Also den 127.0.0.1 raus und richitge Adresse vom DNS rein, und jeweils den anderen aus der Partnerdomain raus, der als 2ter eingetragen ist. Ne es wurde als Basis keine gleiche Install genommen. Völlig unabhängig. Es ist einmal Blech (DC01) und er andere ist virtuell (SRV-XX-DC01) Grüße Alex Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 11. August 2015 Melden Teilen Geschrieben 11. August 2015 Die Anleitung ist für zwei DCs in einer Domäne. Du hast aber nur je einen DC in je einer Domäne. Da Deine beiden Domänen jeweils eigene Gesamtstrukturen mit jeweils einem DC sind, gilt die Anleitung für Dich nicht. Zitieren Link zu diesem Kommentar
AlexST 11 Geschrieben 12. August 2015 Autor Melden Teilen Geschrieben 12. August 2015 Hallo Daniel, ja du hast Recht. Ich habe es jetzt ganz einfach gemacht ich habe jetzt im 2ten Standort einfach die Domain neu aufgesetzt. Und siehe da die Vertrauenstellung läuft. Aber wie sollte es auch immer sein, nicht alles klappt. Ich kann auf den einem DC leider nicht auf die User und Gruppen der anderen Domain zugreifen. Shared-Ordner oder Drucker ohne Probleme. Hast du dort evtl. nochmal einen Tipp. Eigendlich müssten die sich doch automatisch anfangen zu replizieren. Grüße Alex Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 12. August 2015 Melden Teilen Geschrieben 12. August 2015 Was soll sich denn da "replizieren"? Das ist ein trust. Zitieren Link zu diesem Kommentar
AlexST 11 Geschrieben 12. August 2015 Autor Melden Teilen Geschrieben 12. August 2015 Hmm, also ich sehe den Trust der anderen Domain ja nicht wenn ich zum Beispiel eine Gruppe der 2ten Domain suche. Replizieren ist wohl eher falsch Grüße Alex Zitieren Link zu diesem Kommentar
Marcin_K 1 Geschrieben 13. August 2015 Melden Teilen Geschrieben 13. August 2015 Hallo Alex Was genau funktioniert nicht? Kannst du z. B. einen Benutzer aus einer Domäne zu einer Gruppe in der zweiten Domäne nicht hinzufügen? Es gibt zwei Fragen - wurde die Vertrauensstellung in beiden Richtungen eingerichtet? Und die zweite - zu welcher Gruppe (es geht um den Typ von der Gruppe) versuchst du ihn hinzuzufügen? Wenn die Gruppe ist "Global", darfst du kein Mitglied aus der anderen Domäne hinzufügen. GrüßeMarcin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.