9
AD Trust - Fehler beim Erfragen der DCs
Hallo zusammen,
ich will einen AD-Trust zwischen zwei unserer Domains erstellen.
Die Standorte sind mittels VPN verbunden.
Ich kann von Standort B einen Trust zu Standort A anlegen, welcher auch im Standort A in den Trust angezeigt wird. Jedoch wenn ich die Verbindung prüfen möchte, kommt dass er keinen DC findet.
An beiden Standorten ist im DNS eine bedingte Weiterleitung angelegt. Die Namensauflösung zeigt auch keine Fehler an.
Wenn ich von Standort A versuche die Domain B mittels getaddomaincontroller zu ermitteln kommt folgendes:
Von Seite B sieht es so aus:
IP-Adressen und Namen sind anonymisiert.
Per ICMP antworten beide seiten korrekt und die Namensauflösung funktioniert auch.
Es handelt sich um eine Domainebene vom 2008 R2
DC's sind 2008R2 - 2016
Auf Seite B ist ein alter AD-Server hardwaretechnisch noch da, jedoch schon lange abgeschaltet. Ein nslookup auf die Domäne von Seite B gibt somit auch die nicht mehr existierende IP zurück.
Gruß
ich will einen AD-Trust zwischen zwei unserer Domains erstellen.
Die Standorte sind mittels VPN verbunden.
Ich kann von Standort B einen Trust zu Standort A anlegen, welcher auch im Standort A in den Trust angezeigt wird. Jedoch wenn ich die Verbindung prüfen möchte, kommt dass er keinen DC findet.
An beiden Standorten ist im DNS eine bedingte Weiterleitung angelegt. Die Namensauflösung zeigt auch keine Fehler an.
Wenn ich von Standort A versuche die Domain B mittels getaddomaincontroller zu ermitteln kommt folgendes:
PS C:\WINDOWS\system32> get-addomaincontroller -discover -domainname "site-b.lokal"
get-addomaincontroller : Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden
In Zeile:1 Zeichen:1
+ get-addomaincontroller -discover -domainname "site-b.lokal"
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ObjectNotFound: (:) [Get-ADDomainController], ADException
+ FullyQualifiedErrorId : GetADDomainController:BeginProcessingOverride:DiscoverDC:1355,Microsoft.ActiveDirectory.
Management.Commands.GetADDomainControllerVon Seite B sieht es so aus:
PS C:\Users\admin> get-addomaincontroller -discover -domainname "site-a.local"
Domain : site-a.local
Forest : site-a.local
HostName : {dc1.site-a.local}
IPv4Address : 192.168.2.15
IPv6Address :
Name : dc1
Site : Site-1IP-Adressen und Namen sind anonymisiert.
Per ICMP antworten beide seiten korrekt und die Namensauflösung funktioniert auch.
Es handelt sich um eine Domainebene vom 2008 R2
DC's sind 2008R2 - 2016
Auf Seite B ist ein alter AD-Server hardwaretechnisch noch da, jedoch schon lange abgeschaltet. Ein nslookup auf die Domäne von Seite B gibt somit auch die nicht mehr existierende IP zurück.
Gruß
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 355444
Url: https://administrator.de/forum/ad-trust-fehler-beim-erfragen-der-dcs-355444.html
Ausgedruckt am: 11.04.2025 um 08:04 Uhr
9 Kommentare
Neuester Kommentar
Hi,
Wieviel DC's jeweils an den beiden Sites?
Jeder DC eines AD kann alle DC des jeweils anderen AD erreichen?
Beide DNS-Zonen für das jeweilige AD sind fehlerfrei?
E.
Auf Seite B ist ein alter AD-Server hardwaretechnisch noch da, jedoch schon lange abgeschaltet. Ein nslookup auf die Domäne von Seite B gibt somit auch die nicht mehr existierende IP zurück.
Steht dieser DC noch im AD als DC drin? Wenn ja - anschalten! Wenn nein - warum erwähnst Du den dann?"site-b.lokal" vs. "site-a.local"
"k" und "c" - Nur ein unbedeutender Schreibfehler?Wieviel DC's jeweils an den beiden Sites?
Jeder DC eines AD kann alle DC des jeweils anderen AD erreichen?
Beide DNS-Zonen für das jeweilige AD sind fehlerfrei?
E.
HI,
ich weiß nicht, ob der alte DC noch funktioniert, der ist für mich eigentlich raus aus dem Rennen. Der DC ist bestimmt schon ein halbes bis ein Jahr aus.
Das local und lokal sind keine schreibfehler, das ist definitiv so.
Site B hat 2 DC's wovon einer wei gesagt aus ist, Site A hat in Summe 6 DC's über mehrere Standorte verteil. Die können alle per VPN auf die DC's in der Zentrale zugreifen, welches auch korrekt konfiguriert ist (Standorte...)
Es kann nur die Zentrale auf alle zugreifen, wie gesagt, mittels Standorten eingestellt (Replikation).
Die DNS Zonen sehen soweit ok aus.
Gruß
ich weiß nicht, ob der alte DC noch funktioniert, der ist für mich eigentlich raus aus dem Rennen. Der DC ist bestimmt schon ein halbes bis ein Jahr aus.
Das local und lokal sind keine schreibfehler, das ist definitiv so.
Site B hat 2 DC's wovon einer wei gesagt aus ist, Site A hat in Summe 6 DC's über mehrere Standorte verteil. Die können alle per VPN auf die DC's in der Zentrale zugreifen, welches auch korrekt konfiguriert ist (Standorte...)
Es kann nur die Zentrale auf alle zugreifen, wie gesagt, mittels Standorten eingestellt (Replikation).
Die DNS Zonen sehen soweit ok aus.
Gruß
Was man ggf. erwähnen muss ist, dass das IP-Netz an Standort A noch nicht Konform ist, sprich da sind intern öffentliche IP's verwendet, welches natürlich auch schnell geändert wird. Nur benötige ich den Trust vorher schon.
Hintergrund des ganzen ist, dass da dann eine AD Migration ansteht.
Gruß
Hintergrund des ganzen ist, dass da dann eine AD Migration ansteht.
Gruß
ich weiß nicht, ob der alte DC noch funktioniert, der ist für mich eigentlich raus aus dem Rennen. Der DC ist bestimmt schon ein halbes bis ein Jahr aus.
Sprich, er wurde nicht aus dem AD entfernt. Da muss er aber raus! Einfach ausschalten reicht nicht.Wenn der aber schon so lange aus ist, dann nicht wieder einschalten! Diesen musst Du jetzt "hart" aus dem AD entfernen.
Site B hat 2 DC's wovon einer wei gesagt aus ist,
s.o. - Das ist ein Problem.Site A hat in Summe 6 DC's über mehrere Standorte verteil. Die können alle per VPN auf die DC's in der Zentrale zugreifen, welches auch korrekt konfiguriert ist (Standorte...)
Hm, ja, ja. Site und Standort sind ja verschiedene Dinge ...Sind diese Sites im betreffenden AD abgebildet? ("AD Standorte und Dienste" oder"AD Sites and Subnets")
Die DNS Zonen sehen soweit ok aus.
Glaube ich nicht. Da stehen garantiert noch die Infos von dem ausgeschaltetene DC drin. Und damit meine ich nicht bloß dessen A-Record!Was man ggf. erwähnen muss ist, dass das IP-Netz an Standort A noch nicht Konform ist, sprich da sind intern öffentliche IP's verwendet,
Das ist irrelevant. Solange die Kommunikation zwischen diesen Netzen intern bleibt und nicht etwa über Internet geroutet wird. Und der VPN-Tunnel gilt dabei natürlich als intern.
Hallo,
wenn der DC der nicht mehr läuft als DNS-Server angezeigt wird dann sind Deine DNS Zonen wohl nicht so konform. Bring erst mal das DNS auf die Reihe. Du wirst sehen der Rest erledigt sich dann relativ einfach. DNS ist der wohl wichtigste Dienst im AD.
wenn der DC der nicht mehr läuft als DNS-Server angezeigt wird dann sind Deine DNS Zonen wohl nicht so konform. Bring erst mal das DNS auf die Reihe. Du wirst sehen der Rest erledigt sich dann relativ einfach. DNS ist der wohl wichtigste Dienst im AD.
Zitat von @emeriks:
Sind diese Sites im betreffenden AD abgebildet? ("AD Standorte und Dienste" oder"AD Sites and Subnets")
Site A hat in Summe 6 DC's über mehrere Standorte verteil. Die können alle per VPN auf die DC's in der Zentrale zugreifen, welches auch korrekt konfiguriert ist (Standorte...)
Hm, ja, ja. Site und Standort sind ja verschiedene Dinge ...Sind diese Sites im betreffenden AD abgebildet? ("AD Standorte und Dienste" oder"AD Sites and Subnets")
Hi,
ich meinte natürlich AD Standorte und Dienste
Da ist Site A korrekt abgebildet.Ich denke ich werde den alten DC hard entfernen und den Server selbst abbauen.
Was würde passieren, wenn ich den jetzt aus dem DC raus schmeiße und der irgendwann nochmal am Netzwerk angeschaltet wird?
Gruß
ich meinte natürlich AD Standorte und Dienste Da ist Site A korrekt abgebildet.
Und ich frage nach allen Sites vom Forest der Domäne A! Sind diese alle im Forest von Domäne A als Sites eingetragen? Da ist Site A korrekt abgebildet.Was würde passieren, wenn ich den jetzt aus dem DC raus schmeiße und der irgendwann nochmal am Netzwerk angeschaltet wird?
Doofe Idee. Wenn dieser auch DNS-Server ist und sich selbst als solchen benutzt, dann wir er prima hochfahren können und dann mit seinem Broadcast u.U. gehörig stören. Das hängt jetzt davon ab, wie die Netze strukturiert sind. Wohlmöglich ist er auch noch als DHCP-Server eingerichtet ...Zitat von @emeriks:
Ja, sind sie.ich meinte natürlich AD Standorte und Dienste Da ist Site A korrekt abgebildet.
Und ich frage nach allen Sites vom Forest der Domäne A! Sind diese alle im Forest von Domäne A als Sites eingetragen? Da ist Site A korrekt abgebildet.Was würde passieren, wenn ich den jetzt aus dem DC raus schmeiße und der irgendwann nochmal am Netzwerk angeschaltet wird?
Doofe Idee. Wenn dieser auch DNS-Server ist und sich selbst als solchen benutzt, dann wir er prima hochfahren können und dann mit seinem Broadcast u.U. gehörig stören. Das hängt jetzt davon ab, wie die Netze strukturiert sind. Wohlmöglich ist er auch noch als DHCP-Server eingerichtet ...Gruß
