jann0r
Goto Top

Domain Trust schlägt fehl - DC löst andere Domäne nicht auf

Moin,

ich verzweifle hier gerade ein wenig. Vor kurzem hat mein Chef eine kleine Firma inkl. AD usw. übernommen, leider alles recht veraltet (Windows Server 2016 Essentials) aber das muss für eine Übergangszeit alles noch erhalten bleiben..

Damit der Übergang aber so entspannt wie möglich ablaufen soll, wollte ich einen bidirektionalen Domain Trust einrichten. Soweit so klar. Der Standort ist an uns via Sophos RED angebunden und über das Netzwerk auch erreichbar. Entsprechende FW Regeln für die Kommunikation sind ebenfalls eingerichtet und an sich funktioniert auch alles.

Wir selbst betreiben zwei DC (2022 Datacenter) und die gekaufte Firma hat den besagten 2016er Server auf dem alles drauf ist..

Wenn ich jetzt auf unserem DC-01 die Domäne anpingen möchte, erhalte ich eine Fehlermeldung, dass der angegebene Host nicht gefunden werden konnte. Ping ich nur die IP an, kommt was zurück..

Teste ich das auf dem DC-02 löst er den Namen wunderbar auf. Gehe ich wiederum auf den DC der neuen Firma (nennen wir ihn DC-Alt) dann löst er alles auf, Ping, NSLookup in alle Richtungen.

Wenn ich nun den Trust baue, dann klappt das von DC-Alt zu uns ohne Probleme, ich kann danach die Verbindung überprüfen und erhalte jeweils für Aus- und Eingehende Verbindungen die Erfolgsmeldung, dass die Vertrauensstellung bestätigt wurde und aktiv ist.

Gehe ich danach auf den DC-02, der die andere Domäne auflösen kann und überprüfe dort die Verbindung, erhalte ich sofort die Fehlermeldung:
screenshot 2024-11-26 113231


Das Problem ist, er versucht dann die Verbindung zum DC-01 herzustellen und diese funktioniert bekanntlich nicht. Ich verstehe aber auch nicht wieso. Die Einstellungen zwischen DC-01 und 02 sind identisch, die DNS Weiterleitung ist auch korrekt und da löst der DC-01 die andere Domäne auch merkwürdigerweise auf
screenshot 2024-11-26 113428

screenshot 2024-11-26 113507

Achja, neu gestartet wurde der DC auch schon ;)

Content-ID: 669769

Url: https://administrator.de/forum/domain-trust-schlaegt-fehl-dc-loest-andere-domaene-nicht-auf-669769.html

Ausgedruckt am: 27.12.2024 um 06:12 Uhr

emeriks
emeriks 26.11.2024 um 11:49:43 Uhr
Goto Top
Hi,
als erstes testen, ob die Auflösung (nicht Ping) der Namen der z.Z. noch vorhandenen Domaincontroller gegenseitig funktioniert.
Dann in beiden DNS-Zonen prüfen, ob dort veraltetet Einträge für ehemalige DC's vorhandne sind.

stammdomäne.tld\_msdcs
subdomäne.tld\_msdcs
Dann in den Zonen der Domänen nach Einträgen ohne Name suchen. Diese dürfen nur auf noch vorhandene DC verweisen. In der MMC werden diese angezeigt als "(identisch mit übergeordnetem Ordner)", "Host (A)". {IP-Adresse}

In den AD-Domänen prüfen, ob noch Objekte nicht mehr vorhandener DCs vorhanden sind. In der Domäne und im "Site und Services" prüfen.

E.
jann0r
jann0r 26.11.2024 um 12:03:03 Uhr
Goto Top
Zitat von @emeriks:

Hi,
als erstes testen, ob die Auflösung (nicht Ping) der Namen der z.Z. noch vorhandenen Domaincontroller gegenseitig funktioniert.
Dann in beiden DNS-Zonen prüfen, ob dort veraltetet Einträge für ehemalige DC's vorhandne sind.

stammdomäne.tld\_msdcs
subdomäne.tld\_msdcs
Dann in den Zonen der Domänen nach Einträgen ohne Name suchen. Diese dürfen nur auf noch vorhandene DC verweisen. In der MMC werden diese angezeigt als "(identisch mit übergeordnetem Ordner)", "Host (A)". {IP-Adresse}

In den AD-Domänen prüfen, ob noch Objekte nicht mehr vorhandener DCs vorhanden sind. In der Domäne und im "Site und Services" prüfen.

E.

Moin,

hab ich auch bereits getestet, gegenseitig lassen sich die beiden DCs via nslooup ohne Probleme auflösen.

In den DNS Zonen sind keine verwaisten Einträge o.ä. zu finden die Einträge sind auch bei beiden identisch
screenshot 2024-11-26 120051
emeriks
emeriks 26.11.2024 aktualisiert um 12:15:10 Uhr
Goto Top
Um jetzt sicher zu gehen:
die beiden DC's
Beide Domänen habe je einen DC oder beide haben je 2 DC?
Der Screenshot zeigt eine DNS-Zone mit 2 Server. Das geht ja nicht, wenn wir nur einen DC pro Domäne hätten.

Und ich meine andere Records.

2024-11-26 12_11_59
jann0r
jann0r 26.11.2024 um 13:42:25 Uhr
Goto Top
screenshot 2024-11-26 120051

@emeriks Ok vielleicht hab ich mich umständlich ausgedrückt, in unserer Umgebung gibt es zwei DCs, genau heißen sie x-dc-01 und x-dc-02 und bei der Firma, die wir übernommen haben gibt es genau einen Server (so heißt er auch) und mehr haben die nicht.
jann0r
Lösung jann0r 26.11.2024 um 13:54:33 Uhr
Goto Top
@emeriks Ich habe beim Recherchieren noch eine andere Anleitung gefunden, dort wurde die DNS Auflösung nicht über die Weiterleitung im DNS gelöst sondern über eine Forward-Lookupzone vom Typ "Stub" und siehe da, plötzlich funktioniert die Namensauflösung korrekt und ich konnte den Trust ohne Fehler überprüfen.

Warum er dieses Verhalten gezeigt hat erschließt sich mir allerdings nicht wirklich..
ThePinky777
ThePinky777 26.11.2024 aktualisiert um 15:42:45 Uhr
Goto Top
das warum:

die eine domain hat seinen eigenen DNS und die andere Domain hat auch seinen eigenen DNS.
Das bedeutet die eine Domain abc.local kennt die DNS Auflösungen der 2. Domain cba.local nicht.
Also musst du in ader abc.local eine Forward lookupzone machen zur domain cba.local und umgekehrt.
Dann klappts auch mit dem Nachbarn face-smile

Und der Interne DNS der jeweiligen Domain macht brav seine internen dinge usw....

Wenn du es nun noch perfektionieren willst muste noch an den Servern oder Clients die DNS Suffix suchreihenfolge ebenfalls noch setzen lassen. bedeutet als erstes die primäre Domain, und als zweites die andere. Jeweils der jeweiligen Domain angepasst.

Also in der abc.local
Suchsuffix Primär abc.local
Weiterer cba.local

Und in der anderen Domain halt umgekehrt.

Dann kannste auch server egal welcher domain mit Computername ohne FQDN auflösen und pingen, auch wenns ein Server/Computer der anderen Domain ist.

wenn du das mit dem suchsuffix nicht setzt kannst du nur die anderen computer/server nur pingen wenn du den FQDN anpingst, also Computernamen.abc.local oder Computername.cba.local.... wenn du das mit der Forward Zone gemacht hast.
emeriks
emeriks 26.11.2024 um 16:35:42 Uhr
Goto Top
Es hätte auch über eine bedingte Weiterleitung funktioniert. So machen wird das bei uns "laufend". Wir haben soeinige externe Trusts an Laufen.