11
Active Directory Vertrauensstellung
Ich muss sagen das ist meine erste Vertrauensstellung. Ich habe sie in unserer alten AD ads.domain.local Windows 2003 und in unserer neuen AD ads2.intern.domain.de Windows 2012 R2 eingerichtet. Sie verläuft unidirektional und die domain.local traut der intern.domain.de . In der neuen Domäne kann ich nichts testen, in der alten Domäne wird mir "Überprüfen" angeboten und schon das schlägt fehl:
Die Verifizierung des sicheren Kanals auf dem Domänencontroller \\ads.domain.local der Domäne domain.local mit Domäne intern.domain.de ist fehlgeschlagen. Fehler: Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung.
Ich brauche wohl nicht erwähnen das ich keinerlei Objekte der vertauensvollen AD auf meinem alten DC nutzen kann (nach meinen Verständniss ist das ja vorgesehen).
DNS und nslookup liefern korrekt. Auf keinem DC ist derzeit eine Firewall aktiv.
Wo kann ich noch suchen? Ist Windows 2003 (nicht R2) vieleicht einfach zu alt?
Die Verifizierung des sicheren Kanals auf dem Domänencontroller \\ads.domain.local der Domäne domain.local mit Domäne intern.domain.de ist fehlgeschlagen. Fehler: Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung.
Ich brauche wohl nicht erwähnen das ich keinerlei Objekte der vertauensvollen AD auf meinem alten DC nutzen kann (nach meinen Verständniss ist das ja vorgesehen).
DNS und nslookup liefern korrekt. Auf keinem DC ist derzeit eine Firewall aktiv.
Wo kann ich noch suchen? Ist Windows 2003 (nicht R2) vieleicht einfach zu alt?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 275654
Url: https://administrator.de/forum/active-directory-vertrauensstellung-275654.html
Ausgedruckt am: 28.03.2025 um 19:03 Uhr
11 Kommentare
Neuester Kommentar
Ist Windows 2003 (nicht R2) vieleicht einfach zu alt?
Ist nicht zufällig eine SBS?LG, Thomas
Nein Windows Server 2003 Standard mit SP2 und fast allen Patches
Vieleicht habe ich auch irgendwas banales übersehen ich verstehe den Sinn der Meldung nicht mal. Muss ich jetzt ein Computerkonto für meinen alten DC auf "dem Server" (neuer DC?) anlegen?
Hallo,
ich sag mal zu 90% ein DNS Fehler.
Ich rate mal in's Blaue die neue Domain ist zweckst einer Domainmigration angelegt worden, und hat nicht den Sinn einer logischen Trennung?
Den Domaincontroller normal migrieren ist bei euch keine lösung?
ich sag mal zu 90% ein DNS Fehler.
Ich rate mal in's Blaue die neue Domain ist zweckst einer Domainmigration angelegt worden, und hat nicht den Sinn einer logischen Trennung?
Den Domaincontroller normal migrieren ist bei euch keine lösung?
Du musst die Domänen des jeweiligen anderen Domänencontrollers als Stub Domäne auf den DCs anlegen. So zieht er sich eine Kopie der DNS einträge und kann dann erst die DCs der anderen Domäne finden.
In der Tat eine Migration ist das Ziel aber es soll nicht der "normale" Weg genommen werden.
Ich habe auch grade gemerkt das nslookup auf ads2.intern.domain.de ins Internet läuft und nicht die IP von ads.domain.local liefert. Auf ads.domain.local bekomme ich ein ordnungsgemäßes nslookup auf intern.domain.de . Ich versteh nur mal wieder nicht warum, beide ADs sind auch DNS, beide haben bedingte Weiterleitungen für die jeweils andere Domain.
Ich habe auch grade gemerkt das nslookup auf ads2.intern.domain.de ins Internet läuft und nicht die IP von ads.domain.local liefert. Auf ads.domain.local bekomme ich ein ordnungsgemäßes nslookup auf intern.domain.de . Ich versteh nur mal wieder nicht warum, beide ADs sind auch DNS, beide haben bedingte Weiterleitungen für die jeweils andere Domain.
Okay das mit nslookup scheint seine "Richtigkeit" zu haben, wenn ich nslookup mit ads.domain.local. mache geht es. Warum steht hier gut beschrieben: https://www.faq-o-matic.net/2014/02/12/wenn-und-warum-nslookup-unerwarte ...
@rzlbmft
Ist eine Stub-Domain wirklich erforderlich oder reicht nicht auch eine DNS Weiterleitung? Ich habe versucht die Weiterleitung auf dem DC ads.domain.local raus zu nehmen und dafür eine Stub-Domain einzurichten aber das wird mir mit "Die Anforderung wird nicht unterstützt" verwehrt.
@rzlbmft
Ist eine Stub-Domain wirklich erforderlich oder reicht nicht auch eine DNS Weiterleitung? Ich habe versucht die Weiterleitung auf dem DC ads.domain.local raus zu nehmen und dafür eine Stub-Domain einzurichten aber das wird mir mit "Die Anforderung wird nicht unterstützt" verwehrt.
Bei mir hats erst nach dem Anlegen funktioniert. DNS-Weiterleitung hab ich nicht probiert, deswegen kann ich dazu nicht wirklich was sagen.
Hallo zusammen,
ich kämpfe auch bereits seit Tagen damit einen Trust zum Laufen zu bekommen. Es handelt sich um eine Vertrauensstellung zwischen einer Server 2003 und 2008 Domäne. Ich habe einen transitiven Trust auf beiden Domänen eingerichtet. Versuche ich nun diesen zu validieren, bekomme ich nach Eingabe des Benutzers für die Gegendomäne die Fehlermeldung: The specified domain either does not exist or could not be contacted.
Was ich gemacht habe:
- Auf den DCs beider Domänen ist in DNS die jeweilige Forward Zone eingetragen und kann auch per nslookup aufgelöst werden.
- alle benötigten Ports sind lt. prtqry.exe erreichbar
- Netwerkverbindungen zwischen den Domänen ist möglich
- Domänen sind per VPN verbunden
- mit ldifde lässt sich der Trust-Partner auch sauber anzeigen
zwei mögliche Probleme könnte ich mir noch vorstellen:
- es gibt irgendwelche Inkompatibilitäten zwischen einer 2003 und 2008 Domäne
- beide Domänennamen sind zu ähnlich, eine Domäne heisst "ort.intranet.domänenname.de" die andere "intranet.domänenname.de"
falls jemand noch einen Tipp hat wäre ich extrem dankbar.
danke und Gruß
Wolfgang
ich kämpfe auch bereits seit Tagen damit einen Trust zum Laufen zu bekommen. Es handelt sich um eine Vertrauensstellung zwischen einer Server 2003 und 2008 Domäne. Ich habe einen transitiven Trust auf beiden Domänen eingerichtet. Versuche ich nun diesen zu validieren, bekomme ich nach Eingabe des Benutzers für die Gegendomäne die Fehlermeldung: The specified domain either does not exist or could not be contacted.
Was ich gemacht habe:
- Auf den DCs beider Domänen ist in DNS die jeweilige Forward Zone eingetragen und kann auch per nslookup aufgelöst werden.
- alle benötigten Ports sind lt. prtqry.exe erreichbar
- Netwerkverbindungen zwischen den Domänen ist möglich
- Domänen sind per VPN verbunden
- mit ldifde lässt sich der Trust-Partner auch sauber anzeigen
zwei mögliche Probleme könnte ich mir noch vorstellen:
- es gibt irgendwelche Inkompatibilitäten zwischen einer 2003 und 2008 Domäne
- beide Domänennamen sind zu ähnlich, eine Domäne heisst "ort.intranet.domänenname.de" die andere "intranet.domänenname.de"
falls jemand noch einen Tipp hat wäre ich extrem dankbar.
danke und Gruß
Wolfgang
Hier hätte ich tatsächlich auch den Domänennamen in Verdacht. Da ich aber mit mehr-Domänen-Setups keine Erfahrung habe kann ich nur spekulieren.
In meinem Fall heißen die Domänen allerdings domain.lan und intern.domain.de.
In meinem Fall heißen die Domänen allerdings domain.lan und intern.domain.de.
kurze Rückmeldung: Vertrauensstellung läuft nun, hatte allerdings nichts mit der vermuteten Ursache zu tun. Habe einen neuen 2003 Server aufgesetzt und alle Domänenrollen übertragen. Anschließend konnte eine Vertrauensstellung eingerichtet werden. An irgendeiner Stelle hatte der alte Server wohl ein Problem, da ich auch nicht adprep ausführen konnte, was leider auch immer noch nicht möglich ist.
