7
Domain Trust schlägt fehl - DC löst andere Domäne nicht auf
Moin,
ich verzweifle hier gerade ein wenig. Vor kurzem hat mein Chef eine kleine Firma inkl. AD usw. übernommen, leider alles recht veraltet (Windows Server 2016 Essentials) aber das muss für eine Übergangszeit alles noch erhalten bleiben..
Damit der Übergang aber so entspannt wie möglich ablaufen soll, wollte ich einen bidirektionalen Domain Trust einrichten. Soweit so klar. Der Standort ist an uns via Sophos RED angebunden und über das Netzwerk auch erreichbar. Entsprechende FW Regeln für die Kommunikation sind ebenfalls eingerichtet und an sich funktioniert auch alles.
Wir selbst betreiben zwei DC (2022 Datacenter) und die gekaufte Firma hat den besagten 2016er Server auf dem alles drauf ist..
Wenn ich jetzt auf unserem DC-01 die Domäne anpingen möchte, erhalte ich eine Fehlermeldung, dass der angegebene Host nicht gefunden werden konnte. Ping ich nur die IP an, kommt was zurück..
Teste ich das auf dem DC-02 löst er den Namen wunderbar auf. Gehe ich wiederum auf den DC der neuen Firma (nennen wir ihn DC-Alt) dann löst er alles auf, Ping, NSLookup in alle Richtungen.
Wenn ich nun den Trust baue, dann klappt das von DC-Alt zu uns ohne Probleme, ich kann danach die Verbindung überprüfen und erhalte jeweils für Aus- und Eingehende Verbindungen die Erfolgsmeldung, dass die Vertrauensstellung bestätigt wurde und aktiv ist.
Gehe ich danach auf den DC-02, der die andere Domäne auflösen kann und überprüfe dort die Verbindung, erhalte ich sofort die Fehlermeldung:
Das Problem ist, er versucht dann die Verbindung zum DC-01 herzustellen und diese funktioniert bekanntlich nicht. Ich verstehe aber auch nicht wieso. Die Einstellungen zwischen DC-01 und 02 sind identisch, die DNS Weiterleitung ist auch korrekt und da löst der DC-01 die andere Domäne auch merkwürdigerweise auf
Achja, neu gestartet wurde der DC auch schon ;)
ich verzweifle hier gerade ein wenig. Vor kurzem hat mein Chef eine kleine Firma inkl. AD usw. übernommen, leider alles recht veraltet (Windows Server 2016 Essentials) aber das muss für eine Übergangszeit alles noch erhalten bleiben..
Damit der Übergang aber so entspannt wie möglich ablaufen soll, wollte ich einen bidirektionalen Domain Trust einrichten. Soweit so klar. Der Standort ist an uns via Sophos RED angebunden und über das Netzwerk auch erreichbar. Entsprechende FW Regeln für die Kommunikation sind ebenfalls eingerichtet und an sich funktioniert auch alles.
Wir selbst betreiben zwei DC (2022 Datacenter) und die gekaufte Firma hat den besagten 2016er Server auf dem alles drauf ist..
Wenn ich jetzt auf unserem DC-01 die Domäne anpingen möchte, erhalte ich eine Fehlermeldung, dass der angegebene Host nicht gefunden werden konnte. Ping ich nur die IP an, kommt was zurück..
Teste ich das auf dem DC-02 löst er den Namen wunderbar auf. Gehe ich wiederum auf den DC der neuen Firma (nennen wir ihn DC-Alt) dann löst er alles auf, Ping, NSLookup in alle Richtungen.
Wenn ich nun den Trust baue, dann klappt das von DC-Alt zu uns ohne Probleme, ich kann danach die Verbindung überprüfen und erhalte jeweils für Aus- und Eingehende Verbindungen die Erfolgsmeldung, dass die Vertrauensstellung bestätigt wurde und aktiv ist.
Gehe ich danach auf den DC-02, der die andere Domäne auflösen kann und überprüfe dort die Verbindung, erhalte ich sofort die Fehlermeldung:
Das Problem ist, er versucht dann die Verbindung zum DC-01 herzustellen und diese funktioniert bekanntlich nicht. Ich verstehe aber auch nicht wieso. Die Einstellungen zwischen DC-01 und 02 sind identisch, die DNS Weiterleitung ist auch korrekt und da löst der DC-01 die andere Domäne auch merkwürdigerweise auf
Achja, neu gestartet wurde der DC auch schon ;)
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669769
Url: https://administrator.de/forum/domain-trust-schlaegt-fehl-dc-loest-andere-domaene-nicht-auf-669769.html
Ausgedruckt am: 27.12.2024 um 06:12 Uhr
7 Kommentare
Neuester Kommentar
Hi,
als erstes testen, ob die Auflösung (nicht Ping) der Namen der z.Z. noch vorhandenen Domaincontroller gegenseitig funktioniert.
Dann in beiden DNS-Zonen prüfen, ob dort veraltetet Einträge für ehemalige DC's vorhandne sind.
stammdomäne.tld\_msdcs
subdomäne.tld\_msdcs
Dann in den Zonen der Domänen nach Einträgen ohne Name suchen. Diese dürfen nur auf noch vorhandene DC verweisen. In der MMC werden diese angezeigt als "(identisch mit übergeordnetem Ordner)", "Host (A)". {IP-Adresse}
In den AD-Domänen prüfen, ob noch Objekte nicht mehr vorhandener DCs vorhanden sind. In der Domäne und im "Site und Services" prüfen.
E.
als erstes testen, ob die Auflösung (nicht Ping) der Namen der z.Z. noch vorhandenen Domaincontroller gegenseitig funktioniert.
Dann in beiden DNS-Zonen prüfen, ob dort veraltetet Einträge für ehemalige DC's vorhandne sind.
stammdomäne.tld\_msdcs
subdomäne.tld\_msdcs
Dann in den Zonen der Domänen nach Einträgen ohne Name suchen. Diese dürfen nur auf noch vorhandene DC verweisen. In der MMC werden diese angezeigt als "(identisch mit übergeordnetem Ordner)", "Host (A)". {IP-Adresse}
In den AD-Domänen prüfen, ob noch Objekte nicht mehr vorhandener DCs vorhanden sind. In der Domäne und im "Site und Services" prüfen.
E.
1
Zitat von @emeriks:
Hi,
als erstes testen, ob die Auflösung (nicht Ping) der Namen der z.Z. noch vorhandenen Domaincontroller gegenseitig funktioniert.
Dann in beiden DNS-Zonen prüfen, ob dort veraltetet Einträge für ehemalige DC's vorhandne sind.
stammdomäne.tld\_msdcs
subdomäne.tld\_msdcs
Dann in den Zonen der Domänen nach Einträgen ohne Name suchen. Diese dürfen nur auf noch vorhandene DC verweisen. In der MMC werden diese angezeigt als "(identisch mit übergeordnetem Ordner)", "Host (A)". {IP-Adresse}
In den AD-Domänen prüfen, ob noch Objekte nicht mehr vorhandener DCs vorhanden sind. In der Domäne und im "Site und Services" prüfen.
E.
Hi,
als erstes testen, ob die Auflösung (nicht Ping) der Namen der z.Z. noch vorhandenen Domaincontroller gegenseitig funktioniert.
Dann in beiden DNS-Zonen prüfen, ob dort veraltetet Einträge für ehemalige DC's vorhandne sind.
stammdomäne.tld\_msdcs
subdomäne.tld\_msdcs
Dann in den Zonen der Domänen nach Einträgen ohne Name suchen. Diese dürfen nur auf noch vorhandene DC verweisen. In der MMC werden diese angezeigt als "(identisch mit übergeordnetem Ordner)", "Host (A)". {IP-Adresse}
In den AD-Domänen prüfen, ob noch Objekte nicht mehr vorhandener DCs vorhanden sind. In der Domäne und im "Site und Services" prüfen.
E.
Moin,
hab ich auch bereits getestet, gegenseitig lassen sich die beiden DCs via nslooup ohne Probleme auflösen.
In den DNS Zonen sind keine verwaisten Einträge o.ä. zu finden die Einträge sind auch bei beiden identisch
Um jetzt sicher zu gehen:
Der Screenshot zeigt eine DNS-Zone mit 2 Server. Das geht ja nicht, wenn wir nur einen DC pro Domäne hätten.
Und ich meine andere Records.
die beiden DC's
Beide Domänen habe je einen DC oder beide haben je 2 DC?Der Screenshot zeigt eine DNS-Zone mit 2 Server. Das geht ja nicht, wenn wir nur einen DC pro Domäne hätten.
Und ich meine andere Records.
1
@emeriks Ok vielleicht hab ich mich umständlich ausgedrückt, in unserer Umgebung gibt es zwei DCs, genau heißen sie x-dc-01 und x-dc-02 und bei der Firma, die wir übernommen haben gibt es genau einen Server (so heißt er auch) und mehr haben die nicht.
@emeriks Ich habe beim Recherchieren noch eine andere Anleitung gefunden, dort wurde die DNS Auflösung nicht über die Weiterleitung im DNS gelöst sondern über eine Forward-Lookupzone vom Typ "Stub" und siehe da, plötzlich funktioniert die Namensauflösung korrekt und ich konnte den Trust ohne Fehler überprüfen.
Warum er dieses Verhalten gezeigt hat erschließt sich mir allerdings nicht wirklich..
Warum er dieses Verhalten gezeigt hat erschließt sich mir allerdings nicht wirklich..
das warum:
die eine domain hat seinen eigenen DNS und die andere Domain hat auch seinen eigenen DNS.
Das bedeutet die eine Domain abc.local kennt die DNS Auflösungen der 2. Domain cba.local nicht.
Also musst du in ader abc.local eine Forward lookupzone machen zur domain cba.local und umgekehrt.
Dann klappts auch mit dem Nachbarn
Und der Interne DNS der jeweiligen Domain macht brav seine internen dinge usw....
Wenn du es nun noch perfektionieren willst muste noch an den Servern oder Clients die DNS Suffix suchreihenfolge ebenfalls noch setzen lassen. bedeutet als erstes die primäre Domain, und als zweites die andere. Jeweils der jeweiligen Domain angepasst.
Also in der abc.local
Suchsuffix Primär abc.local
Weiterer cba.local
Und in der anderen Domain halt umgekehrt.
Dann kannste auch server egal welcher domain mit Computername ohne FQDN auflösen und pingen, auch wenns ein Server/Computer der anderen Domain ist.
wenn du das mit dem suchsuffix nicht setzt kannst du nur die anderen computer/server nur pingen wenn du den FQDN anpingst, also Computernamen.abc.local oder Computername.cba.local.... wenn du das mit der Forward Zone gemacht hast.
die eine domain hat seinen eigenen DNS und die andere Domain hat auch seinen eigenen DNS.
Das bedeutet die eine Domain abc.local kennt die DNS Auflösungen der 2. Domain cba.local nicht.
Also musst du in ader abc.local eine Forward lookupzone machen zur domain cba.local und umgekehrt.
Dann klappts auch mit dem Nachbarn
Und der Interne DNS der jeweiligen Domain macht brav seine internen dinge usw....
Wenn du es nun noch perfektionieren willst muste noch an den Servern oder Clients die DNS Suffix suchreihenfolge ebenfalls noch setzen lassen. bedeutet als erstes die primäre Domain, und als zweites die andere. Jeweils der jeweiligen Domain angepasst.
Also in der abc.local
Suchsuffix Primär abc.local
Weiterer cba.local
Und in der anderen Domain halt umgekehrt.
Dann kannste auch server egal welcher domain mit Computername ohne FQDN auflösen und pingen, auch wenns ein Server/Computer der anderen Domain ist.
wenn du das mit dem suchsuffix nicht setzt kannst du nur die anderen computer/server nur pingen wenn du den FQDN anpingst, also Computernamen.abc.local oder Computername.cba.local.... wenn du das mit der Forward Zone gemacht hast.
Es hätte auch über eine bedingte Weiterleitung funktioniert. So machen wird das bei uns "laufend". Wir haben soeinige externe Trusts an Laufen.
