Jump to content

AD Domain und Vertrauensstellungen (2k8R2 und 2k12R2)

AlexST

Von AlexST
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

AlexST Proficient

AlexST   11

Geschrieben
Geschrieben

Hallo,

 

ich möchte gern eine Bidirektionale Vertrauensstellung zwischen zwei Domains erstellen.

 

Standort 1:

DC01 (Windows 2008R2)

Domain: schulung.ort1.local

Domain und Gesamtfunktions Windows 2008R2

 

Standort 2:

DC01 (Windows 2012R2)

Domain: schulungs.ort2.local

Domain und Gesamtfunktions Windows 2012R2

 

Folgendes habe ich gemacht:

Site to Site Verbdindung aufgebaut (funktioniert) beide DC sind Pingbar und sehen "" sich auch

Weiterleitungen eingerichet

Jetzt ins AD Vertrauenstellung, Eigenschaften auf die Domain und Neue Vertrauenstellung versucht anzulegen.

Soweit geht alles gut vorran. Nach der Eingabe der Adminzugangsdaten für die Partnerdomain kommen noch 2 Fragen für den Zugriff und bei der letzen Seite wo

Vertrauensstellung abgeschlossen steht kommt die Fehlermeldung " Fehler beim Vorgang:  Dieser Vorgang kann nicht auf der aktuellen Domain ausgeführt werden"

 

Fehlermeldung kommen auf beiden Servern die gleichen. Evtl. habe ich auch nur einen kleinen Denkfehler.

 

Vielen Dank

 

Alex

 

 

Link zu diesem Kommentar
Daniel -MSFT- Veteran

Daniel -MSFT-   129

Geschrieben
Geschrieben (bearbeitet)

Ist dsr Netbios-Name der Domänen gleich, also heissen die beide SCHULUNG? Wurden die Server gecloned ihn Sysprep auszuführen? Gibt es eine Firewall zwischen beiden Domänen oder einen Router, der eventuell den Verkehr filtert?

 

Mach mal von beiden Domänencontrollern jeweils ein Ping auf den eigenen und den fremden Domänennamen und zwar einmal auf den DNS- und einmal auf den Netbios-Namen. Stell du Ergebnisse hier fein. Dazu bitte auch ein ipconfig /all von beiden DCs.

bearbeitet von Daniel -MSFT-
Link zu diesem Kommentar
AlexST Proficient

AlexST   11

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Hallo Daniel,

 

nein die Server sind nicht gecloned worden,sondern bei der Heraufstufung ist jeweils schulung.ort1.local und schulung.ort2.local ausgewählt worden. Derzeit ist auf beiden Seiten die Firewall deaktiviert, Filter sind keine eingerichtet. Sind übrigens 2x LanCom.

 

Ping mit IP klappt im Standort 1 auf sich selber und auf den anderen im Standort 2

Ping mit DNS klappt im Standort 1 auf sich selber und auf den anderen im Standort 2

Ping mit NETBIOSNAME auf sich selber im Standort 1 klappt auf seine IP, in den Standort 2 auf die IP Adresse ebenfalls.

 

Ping mit IP klappt im Standort 2 auf sich selber und auf den anderen im Standort 1

Ping mit DNS klappt im Standort 2 auf sich selber und auf den anderen im Standort 1

Ping mit NETBIOSNAME auf sich selber im Standort 2 klappt auf seine IP, in den Standort 1 auf die IP Adresse auf die falsche IP Adresse (192.168.1.250 kommt es ab, muss aber auf die 192.168.1.160) Info der DC hat 2 NIC´s

 

ipconfig /all Standort 2

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : SRV-XX-DC01
   Primäres DNS-Suffix . . . . . . . : schulung.ort2.local
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : schulung.ort2.local

Ethernet-Adapter Ethernet:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft Hyper-V-Netzwerkadapter
   Physische Adresse . . . . . . . . : 
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.2.162(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.2.1
   DNS-Server  . . . . . . . . . . . : 127.0.0.1
                                       192.168.1.160
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.{19369C89-E9E9-4F04-AA29-2E6728496EBA}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
   Physische Adresse . . . . . . . . : 
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter Teredo Tunneling Pseudo-Interface:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Physische Adresse . . . . . . . . : 
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Ipconfig /all Standort 1

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : DC01
   Primäres DNS-Suffix . . . . . . . : schulung.ort1.local
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Ja
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : schulung.ort1.local

Ethernet-Adapter LAN-Verbindung 4:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller #2
   Physikalische Adresse . . . . . . : 
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.1.250(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . :
   DNS-Server  . . . . . . . . . . . : 192.168.1.160
                                       192.168.2.162
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter LAN-Verbindung 3:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : LAN-Verbindung - Virtuelles Netzwerk
   Physikalische Adresse . . . . . . : 
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : XXX::ec4b:XXXX:dd1a:XXXXXX(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.1.160(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.1.245
   DHCPv6-IAID . . . . . . . . . . . : 
   DHCPv6-Client-DUID. . . . . . . . : 

   DNS-Server  . . . . . . . . . . . : ::1
                                       127.0.0.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.{XXX}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter Teredo Tunneling Pseudo-Interface:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter isatap.{A67FBCFF-A03E-4F5F-A8A6-57756819BA1F}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Grüße Alex

bearbeitet von AlexST
Link zu diesem Kommentar
Daniel -MSFT- Veteran

Daniel -MSFT-   129

Geschrieben
Geschrieben (bearbeitet)

Huhu Norbert,

 

ja heißen beide SCHULUNG

 

Was meinst du mir Multihomes Dc´s?

 

Grüße Alex

 

Wegen der gleichen Netbios-Namen hat Norbert ja schon geschrieben. Mutli-Homed sind Server mit mehreren Netzwerkkarten. Das ist bei DCs nicht so einfach zu konfigurieren und nicht empfohlen. Warum hat DC01 zwei Netzwerkkarten in dem gleichen Netzwerksegment mit unterschiedlichen IP-Adressen und dazu noch RAS-Interfaces?

 

Die Konfiguration der DNS-Resolver von SRV-XX-DC01 ist falsch. Warum hat der die .160 da mit drin? Bei DC01 genauso, warum ist dort eine .162 drin? Wer ist das?

Siehe dazu auch https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ - Du hast ja hier zwei unabhängige Gesamtstrukturen.

 

Wegen Cloning hatte ich gefragt, ob als Basis für die beiden DCs die gleiche Installation genommen und kopiert wurde. Da werde ich aus Deiner Antwort nicht schlau. Wurden die beiden VMs separat installiert oder wurde die eine nach der Grundinstallation auch als Vorlage für die zweite genommen? Wenn ja, wurde sie mit Sysprep generalisiert, bevor sie zum Domaincontroller hochgestuft wurde?

bearbeitet von Daniel -MSFT-
Link zu diesem Kommentar
AlexST Proficient

AlexST   11

Geschrieben
  • Autor
Geschrieben

Hallo,

 

okay das mit den NETBIOS Namen ist ein Problem. Ich habe was gefunden und versuche die nach der Anleitung mal zu ändern. Die Strucktur habe ich so übernommen und habe daran nix geändert. Also was den DC01 angeht. Ich vermute mal das der alte Admin auch eine RAS Kiste zusätzlich machen wollte.

 

Zum DNS Resolver. Ich hatte die nach einer Anleitung eingetragen die verweisen immer auf den DNS der anderen Domain. Also den 127.0.0.1 raus und richitge Adresse vom DNS rein, und jeweils den anderen aus der Partnerdomain raus, der als 2ter eingetragen ist.

 

Ne es wurde als Basis keine gleiche Install genommen. Völlig unabhängig. Es ist einmal Blech (DC01) und er andere ist virtuell (SRV-XX-DC01)

 

Grüße Alex

Link zu diesem Kommentar
AlexST Proficient

AlexST   11

Geschrieben
  • Autor
Geschrieben

Hallo Daniel,

 

ja du hast Recht. Ich habe es jetzt ganz einfach gemacht ich habe jetzt im 2ten Standort einfach die Domain neu aufgesetzt. Und siehe da die Vertrauenstellung läuft.

 

Aber wie sollte es auch immer sein, nicht alles klappt. Ich kann auf den einem DC leider nicht auf die User und Gruppen der anderen Domain zugreifen. Shared-Ordner oder Drucker ohne Probleme. Hast du dort evtl. nochmal einen Tipp. Eigendlich müssten die sich doch automatisch anfangen zu replizieren.

 

Grüße Alex

Link zu diesem Kommentar
Marcin_K Enthusiast

Marcin_K   1

Geschrieben
Geschrieben

Hallo Alex

 

Was genau funktioniert nicht? Kannst du z. B. einen Benutzer aus einer Domäne zu einer Gruppe in der zweiten Domäne nicht hinzufügen? Es gibt zwei Fragen - wurde die Vertrauensstellung in beiden Richtungen eingerichtet? Und die zweite - zu welcher Gruppe (es geht um den Typ von der Gruppe) versuchst du ihn hinzuzufügen? Wenn die Gruppe ist "Global", darfst du kein Mitglied aus der anderen Domäne hinzufügen.

 

Grüße
Marcin

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...