3
Domain Trust schlägt fehl - DC löst andere Domäne nicht auf
Moin,
ich verzweifle hier gerade ein wenig. Vor kurzem hat mein Chef eine kleine Firma inkl. AD usw. übernommen, leider alles recht veraltet (Windows Server 2016 Essentials) aber das muss für eine Übergangszeit alles noch erhalten bleiben..
Damit der Übergang aber so entspannt wie möglich ablaufen soll, wollte ich einen bidirektionalen Domain Trust einrichten. Soweit so klar. Der Standort ist an uns via Sophos RED angebunden und über das Netzwerk auch erreichbar. Entsprechende FW Regeln für die Kommunikation sind ebenfalls eingerichtet und an sich funktioniert auch alles.
Wir selbst betreiben zwei DC (2022 Datacenter) und die gekaufte Firma hat den besagten 2016er Server auf dem alles drauf ist..
Wenn ich jetzt auf unserem DC-01 die Domäne anpingen möchte, erhalte ich eine Fehlermeldung, dass der angegebene Host nicht gefunden werden konnte. Ping ich nur die IP an, kommt was zurück..
Teste ich das auf dem DC-02 löst er den Namen wunderbar auf. Gehe ich wiederum auf den DC der neuen Firma (nennen wir ihn DC-Alt) dann löst er alles auf, Ping, NSLookup in alle Richtungen.
Wenn ich nun den Trust baue, dann klappt das von DC-Alt zu uns ohne Probleme, ich kann danach die Verbindung überprüfen und erhalte jeweils für Aus- und Eingehende Verbindungen die Erfolgsmeldung, dass die Vertrauensstellung bestätigt wurde und aktiv ist.
Gehe ich danach auf den DC-02, der die andere Domäne auflösen kann und überprüfe dort die Verbindung, erhalte ich sofort die Fehlermeldung:
Das Problem ist, er versucht dann die Verbindung zum DC-01 herzustellen und diese funktioniert bekanntlich nicht. Ich verstehe aber auch nicht wieso. Die Einstellungen zwischen DC-01 und 02 sind identisch, die DNS Weiterleitung ist auch korrekt und da löst der DC-01 die andere Domäne auch merkwürdigerweise auf
Achja, neu gestartet wurde der DC auch schon ;)
ich verzweifle hier gerade ein wenig. Vor kurzem hat mein Chef eine kleine Firma inkl. AD usw. übernommen, leider alles recht veraltet (Windows Server 2016 Essentials) aber das muss für eine Übergangszeit alles noch erhalten bleiben..
Damit der Übergang aber so entspannt wie möglich ablaufen soll, wollte ich einen bidirektionalen Domain Trust einrichten. Soweit so klar. Der Standort ist an uns via Sophos RED angebunden und über das Netzwerk auch erreichbar. Entsprechende FW Regeln für die Kommunikation sind ebenfalls eingerichtet und an sich funktioniert auch alles.
Wir selbst betreiben zwei DC (2022 Datacenter) und die gekaufte Firma hat den besagten 2016er Server auf dem alles drauf ist..
Wenn ich jetzt auf unserem DC-01 die Domäne anpingen möchte, erhalte ich eine Fehlermeldung, dass der angegebene Host nicht gefunden werden konnte. Ping ich nur die IP an, kommt was zurück..
Teste ich das auf dem DC-02 löst er den Namen wunderbar auf. Gehe ich wiederum auf den DC der neuen Firma (nennen wir ihn DC-Alt) dann löst er alles auf, Ping, NSLookup in alle Richtungen.
Wenn ich nun den Trust baue, dann klappt das von DC-Alt zu uns ohne Probleme, ich kann danach die Verbindung überprüfen und erhalte jeweils für Aus- und Eingehende Verbindungen die Erfolgsmeldung, dass die Vertrauensstellung bestätigt wurde und aktiv ist.
Gehe ich danach auf den DC-02, der die andere Domäne auflösen kann und überprüfe dort die Verbindung, erhalte ich sofort die Fehlermeldung:
Das Problem ist, er versucht dann die Verbindung zum DC-01 herzustellen und diese funktioniert bekanntlich nicht. Ich verstehe aber auch nicht wieso. Die Einstellungen zwischen DC-01 und 02 sind identisch, die DNS Weiterleitung ist auch korrekt und da löst der DC-01 die andere Domäne auch merkwürdigerweise auf
Achja, neu gestartet wurde der DC auch schon ;)
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669769
Url: https://administrator.de/contentid/669769
Ausgedruckt am: 26.11.2024 um 12:11 Uhr
3 Kommentare
Neuester Kommentar
Hi,
als erstes testen, ob die Auflösung (nicht Ping) der Namen der z.Z. noch vorhandenen Domaincontroller gegenseitig funktioniert.
Dann in beiden DNS-Zonen prüfen, ob dort veraltetet Einträge für ehemalige DC's vorhandne sind.
stammdomäne.tld\_msdcs
subdomäne.tld\_msdcs
Dann in den Zonen der Domänen nach Einträgen ohne Name suchen. Diese dürfen nur auf noch vorhandene DC verweisen. In der MMC werden diese angezeigt als "(identisch mit übergeordnetem Ordner)", "Host (A)". {IP-Adresse}
In den AD-Domänen prüfen, ob noch Objekte nicht mehr vorhandener DCs vorhanden sind. In der Domäne und im "Site und Services" prüfen.
E.
als erstes testen, ob die Auflösung (nicht Ping) der Namen der z.Z. noch vorhandenen Domaincontroller gegenseitig funktioniert.
Dann in beiden DNS-Zonen prüfen, ob dort veraltetet Einträge für ehemalige DC's vorhandne sind.
stammdomäne.tld\_msdcs
subdomäne.tld\_msdcs
Dann in den Zonen der Domänen nach Einträgen ohne Name suchen. Diese dürfen nur auf noch vorhandene DC verweisen. In der MMC werden diese angezeigt als "(identisch mit übergeordnetem Ordner)", "Host (A)". {IP-Adresse}
In den AD-Domänen prüfen, ob noch Objekte nicht mehr vorhandener DCs vorhanden sind. In der Domäne und im "Site und Services" prüfen.
E.
Zitat von @emeriks:
Hi,
als erstes testen, ob die Auflösung (nicht Ping) der Namen der z.Z. noch vorhandenen Domaincontroller gegenseitig funktioniert.
Dann in beiden DNS-Zonen prüfen, ob dort veraltetet Einträge für ehemalige DC's vorhandne sind.
stammdomäne.tld\_msdcs
subdomäne.tld\_msdcs
Dann in den Zonen der Domänen nach Einträgen ohne Name suchen. Diese dürfen nur auf noch vorhandene DC verweisen. In der MMC werden diese angezeigt als "(identisch mit übergeordnetem Ordner)", "Host (A)". {IP-Adresse}
In den AD-Domänen prüfen, ob noch Objekte nicht mehr vorhandener DCs vorhanden sind. In der Domäne und im "Site und Services" prüfen.
E.
Hi,
als erstes testen, ob die Auflösung (nicht Ping) der Namen der z.Z. noch vorhandenen Domaincontroller gegenseitig funktioniert.
Dann in beiden DNS-Zonen prüfen, ob dort veraltetet Einträge für ehemalige DC's vorhandne sind.
stammdomäne.tld\_msdcs
subdomäne.tld\_msdcs
Dann in den Zonen der Domänen nach Einträgen ohne Name suchen. Diese dürfen nur auf noch vorhandene DC verweisen. In der MMC werden diese angezeigt als "(identisch mit übergeordnetem Ordner)", "Host (A)". {IP-Adresse}
In den AD-Domänen prüfen, ob noch Objekte nicht mehr vorhandener DCs vorhanden sind. In der Domäne und im "Site und Services" prüfen.
E.
Moin,
hab ich auch bereits getestet, gegenseitig lassen sich die beiden DCs via nslooup ohne Probleme auflösen.
In den DNS Zonen sind keine verwaisten Einträge o.ä. zu finden die Einträge sind auch bei beiden identisch
Um jetzt sicher zu gehen:
Der Screenshot zeigt eine DNS-Zone mit 2 Server. Das geht ja nicht, wenn wir nur einen DC pro Domäne hätten.
Und ich meine andere Records.
die beiden DC's
Beide Domänen habe je einen DC oder beide haben je 2 DC?Der Screenshot zeigt eine DNS-Zone mit 2 Server. Das geht ja nicht, wenn wir nur einen DC pro Domäne hätten.
Und ich meine andere Records.
