69011
Jan 25, 2019
4885
7
0
Cross Forest Vertrauensstellung: Systemfehler 1311, keine Anmeldeserver verfügbar
Hallo zusammen,
eine kleine Hürde an die ich nicht vorbeikomme:
zwei Domänen: mutter.de und tochter.de
Vertrauensstellung steht, wenn ich diese überprüfe dann erscheint "die Vertrauensstellung wurde bestätigt, Sie ist aktiv"
ok... User aus der tochter.de können sich auf einer RDS Farm in der mutter.de erfolgreich anmelden und dort Remote Apps starten.
nun habe ich roaming Profile für die User in der tochter.de eingerichtet, der Fileserver steht dazu in der mutter.de
die Roaming Profile werden einfach nicht angelegt (ich habe noch noch zwei weitere Vertrauensstellungen zu zwei anderen Domänen, da funktioniert alles wunderbar)
im EventLog des Terminalsserver erhalte ich die Event ID 1521
Windows cannot locate the server copy of your roaming profile and is attempting to log you on with your local profile. Changes to the profile will not be copied to the server when you logoff. Possible causes of this error include network problems or insufficient security rights. If this problem persists, contact your network administrator.
okay, auf einem PC in der tochter.de versuche ich die Filefreigabe ganz normal per Windows Explorer zu erreichen, dies scheitert mit einem "unbekanntem Fehler"
wenn ich von selbigen PC per cmd einen net use absetze erhalte ich.
Systemfehler 1311 aufgetreten.
Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar.
DNS rennt, ich kann von/nach tochter.de/mutter.de alles sauber auflösen, Firewall Logs sind sauber es werden keine Pakete gefiltert. zum Testen habe ich die Windows Firewall bei mutter.de abgeschaltet. DCs an beiden Standorten habe keine Fehler.
Weiß jemand Rat?
eine kleine Hürde an die ich nicht vorbeikomme:
zwei Domänen: mutter.de und tochter.de
Vertrauensstellung steht, wenn ich diese überprüfe dann erscheint "die Vertrauensstellung wurde bestätigt, Sie ist aktiv"
ok... User aus der tochter.de können sich auf einer RDS Farm in der mutter.de erfolgreich anmelden und dort Remote Apps starten.
nun habe ich roaming Profile für die User in der tochter.de eingerichtet, der Fileserver steht dazu in der mutter.de
die Roaming Profile werden einfach nicht angelegt (ich habe noch noch zwei weitere Vertrauensstellungen zu zwei anderen Domänen, da funktioniert alles wunderbar)
im EventLog des Terminalsserver erhalte ich die Event ID 1521
Windows cannot locate the server copy of your roaming profile and is attempting to log you on with your local profile. Changes to the profile will not be copied to the server when you logoff. Possible causes of this error include network problems or insufficient security rights. If this problem persists, contact your network administrator.
okay, auf einem PC in der tochter.de versuche ich die Filefreigabe ganz normal per Windows Explorer zu erreichen, dies scheitert mit einem "unbekanntem Fehler"
wenn ich von selbigen PC per cmd einen net use absetze erhalte ich.
Systemfehler 1311 aufgetreten.
Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar.
DNS rennt, ich kann von/nach tochter.de/mutter.de alles sauber auflösen, Firewall Logs sind sauber es werden keine Pakete gefiltert. zum Testen habe ich die Windows Firewall bei mutter.de abgeschaltet. DCs an beiden Standorten habe keine Fehler.
Weiß jemand Rat?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 399394
Url: https://administrator.de/contentid/399394
Printed on: April 24, 2024 at 18:04 o'clock
7 Comments
Latest comment
Hi,
Namensauflösung am Client ist das eine.
Ob der Client dann aber mit den aufgelösten IP-Adressen die betreffenden Server (Dienste) erreichen kann, ist das andere. Das musst Du prüfen.
E.
Edit:
Uhrzeiten zwischen den Domänen und deren Member sind synchron?
Edit 2:
Und nicht vergessen:
Wenn TS und FS in Domäne A sind. Und Benutzer aus extern vertrauter Domäne B sich am TS anmeldet, dann muss auch der FS die Domäne B abfragen können, nicht nur der TS.
Namensauflösung am Client ist das eine.
Ob der Client dann aber mit den aufgelösten IP-Adressen die betreffenden Server (Dienste) erreichen kann, ist das andere. Das musst Du prüfen.
E.
Edit:
Uhrzeiten zwischen den Domänen und deren Member sind synchron?
Edit 2:
Und nicht vergessen:
Wenn TS und FS in Domäne A sind. Und Benutzer aus extern vertrauter Domäne B sich am TS anmeldet, dann muss auch der FS die Domäne B abfragen können, nicht nur der TS.
Hallo Emeriks,
ja das sehe ich genauso, Namensauflösung geht, der Client kann aber die Dienste nicht erreichen.
Uhrzeiten i. O., sind synchron
Firewallregeln sind grün, es werden keine Pakete gedropped. zwei weitere Standorte mit zwei weiteren Domänen funktionieren tadellos mit gleicher Konfig
nun habe ich festgestellt das mein Client in der tochter.de andere Server in der mutter.de erreichen kann. z. B. kann der Druckserver über UNC erreicht werden, aber der Fileserver nicht. ganz seltsames Phänomen...
ja das sehe ich genauso, Namensauflösung geht, der Client kann aber die Dienste nicht erreichen.
Uhrzeiten i. O., sind synchron
Firewallregeln sind grün, es werden keine Pakete gedropped. zwei weitere Standorte mit zwei weiteren Domänen funktionieren tadellos mit gleicher Konfig
nun habe ich festgestellt das mein Client in der tochter.de andere Server in der mutter.de erreichen kann. z. B. kann der Druckserver über UNC erreicht werden, aber der Fileserver nicht. ganz seltsames Phänomen...
Fang doch mal mit einem TRACERT an.
es werden keine Pakete gedropped
Sofern sie da überhaupt vorbeikommen ...
also, komm da einfach nicht weiter...
der Server in der tochter.de kann problemlos auf einen fileserver in der mutter.de zugreifen (file1.mutter.de), der selbige Server aus der tochter.de kann auf einen weiteren fileserver file2.mutter.de nicht zugreifen.
tracert problemlos, sowohl zum funktionierendem als auch zum nicht funktionierendem Server wird die gleiche Route verwendet, an der Firewall werden Pakete protokolliert und nicht verworfen.
DC in der tochter.de bereits neu gestartet, ebenso habe ich den file2.mutter.de neu gestartet. keine Besserung. Ereignisanzeige sieht überall sauber und fehlerfrei aus.
der Server in der tochter.de kann problemlos auf einen fileserver in der mutter.de zugreifen (file1.mutter.de), der selbige Server aus der tochter.de kann auf einen weiteren fileserver file2.mutter.de nicht zugreifen.
tracert problemlos, sowohl zum funktionierendem als auch zum nicht funktionierendem Server wird die gleiche Route verwendet, an der Firewall werden Pakete protokolliert und nicht verworfen.
DC in der tochter.de bereits neu gestartet, ebenso habe ich den file2.mutter.de neu gestartet. keine Besserung. Ereignisanzeige sieht überall sauber und fehlerfrei aus.
Was heiß "nicht zugreifen"?
Kommt "nicht gefunden" oder "Zugriff verweigert" oder was?
Macht es einen Unterschied ob Du es über
Kommt "nicht gefunden" oder "Zugriff verweigert" oder was?
Macht es einen Unterschied ob Du es über
- NetBIOS-Namen
- FQDN
- IP-Adresse
"auf \\file2.mutter.de kann nicht zugegriffen werden. Sie haben eventuell keine Berechtigung, diese Netzwerkressource zu verwenden. Wenden Sie sich an den Administrator des Servers um herauszufinden, ob Sie über Berechtigungen verfügen.
Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar"
dcdiag auf allen DCs der tochter.de und mutter.de laufen fehlerfrei, alle Tests sind bestanden. Reboot der DCs und Fileserver bereits durchgeführt, leider ohne Erfolg. DNS ist fehlerfrei, alle Hosts werden korrekt aufgelöst, die Weiterleitungen funktionieren ebenfalls.
Nein es macht keinen Unterschied ob ich NetBIOS, FQDN oder IP Adresse versuche. bei allen erscheint die obige Fehlermeldung.
und seltsam ist eben, der Zugriff auf file1.mutter.de erfolgt fehlerfrei, hier sehe ich dann alle Shares und kann darauf lesend und schreibend zugreifen.
Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar"
dcdiag auf allen DCs der tochter.de und mutter.de laufen fehlerfrei, alle Tests sind bestanden. Reboot der DCs und Fileserver bereits durchgeführt, leider ohne Erfolg. DNS ist fehlerfrei, alle Hosts werden korrekt aufgelöst, die Weiterleitungen funktionieren ebenfalls.
Nein es macht keinen Unterschied ob ich NetBIOS, FQDN oder IP Adresse versuche. bei allen erscheint die obige Fehlermeldung.
und seltsam ist eben, der Zugriff auf file1.mutter.de erfolgt fehlerfrei, hier sehe ich dann alle Shares und kann darauf lesend und schreibend zugreifen.
OK.
Zum Test der Vertrauensstellung.
Erteile mal einem normalen Benutzer der Tochter.de auf dem file2.mutter.de die Berechtigung zum Anmelden über RDP.
--> Remotedesktopbenutzer
Dann mit diesem Benutzer, vom Client aus, wo Du den Share-Zugriff versucht hast, per RDP an file2 anmelden. Geht das?
Zum Test der Vertrauensstellung.
Erteile mal einem normalen Benutzer der Tochter.de auf dem file2.mutter.de die Berechtigung zum Anmelden über RDP.
--> Remotedesktopbenutzer
Dann mit diesem Benutzer, vom Client aus, wo Du den Share-Zugriff versucht hast, per RDP an file2 anmelden. Geht das?
