guybrush 19 Geschrieben 7. Oktober 2015 Melden Teilen Geschrieben 7. Oktober 2015 Hallo Kollegen, ich plage mich gerade bei einem Trust zwischen zwei AD-Domänen (External, Two-Way). Meine Domäne hat 2 AD-Standorte, die sauber funktionieren und per S2S-VPN verbunden sind. Die Remote-Domäne hat nur einen Standort und ist per S2S sauber an unser HQ angebunden, nicht jedoch an unseren Remotestandort. Domain functional level von beiden Domänen ist "Windows Server 2003". Den verwendeten Conditional Forwarder habe ich entfernt und jeweils eine Stubzone eingerichtet, sodass ich von beiden Seiten aus eine saubere Namensauflösung habe. Ich kann Clients- und Server auf beiden Seiten via FQDN auflösen, die Domänennamen aber nicht.... Ich habe dann den Trust eingerichtet auf einer Seite, habe aber folgende Meldung bekommen: The incoming trust has been verified. It is in place and active. The verification of the outgoing trust failed with the following error(s): The trust password verification test was inconclusive. A secure channel reset will be attempted. The secure channel reset failed with error 1311: There are currently no logon servers available to service the logon request. Nach ein wenig Recherche habe ich dann vielleicht den Grund gefunden: Der DC versucht einen Remote-DC zu erreichen, der in einem anderen, nicht per S2S-VPN verbundenen Subnet liegt. Warum auch immer. Nun meine Frage: Kann ich die Remotedomäne dazu nötigen, einen bestimmten DC zu kontaktieren? Ein m.E. nicht unwichtiges Detail ist, dass nur eine der beiden Domänen (meine) einen ordentlichen DNS-Namen hat, also irgendwas.domain.tld, NetBIOS-Name ist folglich IRGENDWAS. Die Remotedomäne hat aber als DNS-Domänennamen wasanderes. Somit ist der NetBIOS-Name WASANDERES. Kann das prinzipiell hinderlich sein, oder ist das nur etwas unglücklich? Jegliche Änderung am Remote-Domänennamen ist derzeit ausgeschlossen. Der Trust ist jedoch ein Temporärschritt, bevor wir in allen 3 Standorten auf eine gemeinsame, neue Domäne migrieren... LGJohannes Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 8. Oktober 2015 Autor Melden Teilen Geschrieben 8. Oktober 2015 OK, nach etwas mehr Recherche hab ich herausgefunden, dass diese SLD (Single Label Domain) hier sicherlich das größte Problem ist. Die gefundenen Ansätze beinhalten alle irgendwelche Registryhacks und Reboots aller Domain Controller. Da der Remotestandort derzeit unter Volllast 24/7 produziert und ich nächste Woche auf Urlaub bin, hab ich das Projekt mal auf Eis gelegt. Ich hasse es, wenn man sich mit vererbten Altlasten die Nächte um die Ohren schlagen muss.... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.