suko4780
Goto Top

Fehlermeldung bei Erstellung einer Vertrauensstellung zweier Domänen

Fehler "Benutzer ist bereits vorhanden"

Hallo!

Dies ist mein erster Beitrag hier und ich hoffe auf Nachsicht face-wink

Seit Anfang dieser Woche haben wir die Netzwerke zweier Firmen zusammengelegt. Soll heißen in Firma A (Domäne abc.local) galt bis vor kurzem der IP-Bereich 192.168.0.xxx und in Firma B (Domäne 123.lan) der Bereich 172.16.xxx.xxx. Firma B hat dabei noch mehrere Filialen wobei jede Filiale (Standort) ein eigenes IP-Segment besitzt (z.B. Hamburg 172.16.96.xxx, Berlin 172.16.128.xxx usw.)

Ist-Zustand der beiden Firmen:

Firma A (abc.local):
DC1 172.16.96.2 mit Windows Server 2003 SE (Betriebsmaster + DNS-Server)
DC2 172.16.96.3 mit Windows Server 2003 SE
1 Fileserver mit Windows Storage Server 2003 SP1 (DNS-Server)

Firma B (123.lan):
DC 1 172.16.128.202 mit Windows Server 2003 R2 SE SP2 (Betriebsmaster + DNS-Server)
DC 2 172.16.128.204 mit Windows Server 2003 R2 SE SP2 (DNS-Server)

Da Firma A mittlerweile organisatorisch mit Firma B (Filiale Hamburg) verschmolzen ist haben wir nun das Netz von Firma A auf den Bereich 172.16.96.xxx umgeändert.
Alles funktioniert so weit auch gut und als letzten Schritt sollen nun die beiden Domänen miteinander vetraut gemacht werden. Genau hier kommt das Problem.
Wenn ich eine neue Vetrauensstellung erzegen will gebe ich folgende Daten in dem Assistenten ein:

Die Domäne von Firma B = abc.lan
Dann gebe ich das Admin-Konto + PW der Domäne abc.lan ein
Bidirektional
Beide Richtungen gleichzeitig erstellen (habe die Daten beider Domänen)

Dies alles macht er ohne Probleme. Nur am Ende wenn ich auf "Weiter" klicken soll um die Vertrauensstellung nun endgültig zu er erstellen kommt das Fenster mit der Fehlermeldung "Vertrauensstellung konnte nicht erstellt werden - Fehler: Benutzer ist bereits vorhanden"!

Habe auch nach langem Googlen nichts gefunden was mich weiter bringt. Kann mir hier vielleicht jemand sagen worin das Problem liegt?

Danke und Grüße

Michael

Content-ID: 83111

Url: https://administrator.de/contentid/83111

Ausgedruckt am: 26.11.2024 um 05:11 Uhr

Azubi-Admin
Azubi-Admin 14.03.2008 um 22:35:27 Uhr
Goto Top
hmmm, sieht soweit alles in Ordnung aus.
Was passiert nach dem du die Fehlermeldung bestätigt hast?
erscheint die Vertrauenstellung unter "Standorte und Vertrauenstellungen" oder wird der Vorgang komplett abgebrochen?

Hast du mal den umgekehrt Weg versucht, also von Firma A abc.local die Vertrauenstellung zu Firma B aufzubauen? Bekommst du dann die selbe Fehlermeldung?

Welchen Modus hat die Domäne und die Gesamtstruktur der beiden Domönen?
Suko4780
Suko4780 17.03.2008 um 08:39:56 Uhr
Goto Top
Hallo!

Was passiert nach dem du die Fehlermeldung
bestätigt hast?
erscheint die Vertrauenstellung unter
"Standorte und Vertrauenstellungen"
oder wird der Vorgang komplett abgebrochen?

Er wird abgebrochen!

Hast du mal den umgekehrt Weg versucht, also
von Firma A abc.local die Vertrauenstellung
zu Firma B aufzubauen? Bekommst du dann die
selbe Fehlermeldung?

Ja, habe ich auch versucht. Das selbe Ergebnis.

Welchen Modus hat die Domäne und die
Gesamtstruktur der beiden Domönen?

Was meinst Du mit Modus? Sagt mir leider nix face-sad
Die Gesamtstruktur besteht ja nur aus 2 Domänen. Eben den beiden die ich vertraut machen will. Die einzelnen Filialen unterscheiden sich nur durch ein anderes Segment des IP-Bereichs.

Kann es was damit zu tun haben das ich den Vorgang per RDP-Sitzung durchführe? Soll heissen, muss ich das vielleicht direkt an dem Server machen? (Man weiß ja nie ...)

Grüße
Azubi-Admin
Azubi-Admin 17.03.2008 um 20:26:58 Uhr
Goto Top
Hallo,

Mit RDP kannst du das ruhig machen.

Zu deiner Frage:

auf dieser Seite ist alles gut erklärt bzgl. Modus (Funktionsebene) und Gesamtstruktur.

http://archiv.tu-chemnitz.de/pub/2006/0034/data/html/node32.html

In deiner jetzigen Umgebung hast du zwei Gesamtstrukturen, sonst wäre die eine Domäne die Child (untergeordnete Domäne) der anderen.

Ich habe nach der Fehlermeldung "Benutzer ist bereits vorhanden" im Netz gesucht und was gefunden:

http://support.microsoft.com/?scid=kb%3Bde%3B295335&x=12&y=12

Wie hast du die DNS-Server konfiguriert, damit der Name der Domänen aufgelöst werden?

Bei deiner Umgebung würde ich wie folgt vorgehen:

1. Auf den Primären DNS-Server 172.16.96.2 eine Stabzone für die Domäne 123.lan einrichten. Als IP-Adresse gibts du 172.16.128.202 ein. Achte darauf, dass die Stabzone nicht AD-Integriert eingerichtet wird.

2. Auf den Primären DNS-Server 172.16.128.202 eine Stabzone für die Domäne abc.local einrichten. Als IP-Adresse 172.16.96.2 hinterlegeben. Auch hier die Stabzone nicht AD-Integriert einrichten!

3. Vertrauenstellung noch mal durchführen.
Bekommst du wieder die Fehlermeldung?
Suko4780
Suko4780 18.03.2008 um 09:14:09 Uhr
Goto Top
Hi!

In deiner jetzigen Umgebung hast du zwei
Gesamtstrukturen, sonst wäre die eine
Domäne die Child (untergeordnete
Domäne) der anderen.

Richtig. Bei beiden steht im AD als Domänenfunktionsebene "Windows 2000 gemischt" und als Gesamtstrukturfunktionsebene "Windows 2000". Ist also bei beiden gleich.
Die Domäne abc.local ist von Anfang an mit Win 2003 Servern eingerichtet worden. Bei 123.lan gab es früher Win 2000 Server. Diese wurden aber vor ca. 1 Jahr durch 2003 Server ersetzt.

Ich habe nach der Fehlermeldung
"Benutzer ist bereits vorhanden" im
Netz gesucht und was gefunden:

http://support.microsoft.com/?scid=kb%3Bde%3B295335&x=12&y=12

Diesen Artikel hatte ich auch schon gelesen. Hilft mir aber nicht wirklich weiter ...

Wie hast du die DNS-Server konfiguriert,
damit der Name der Domänen
aufgelöst werden?

Gut da ist ein Punkt bei dem ich etws getrickst habe und wo vielleicht auch das Problem liegt? Zunächst bekam ich nach Eingabe der anderen Domäne im Einrichtungsassistenten eine Meldung das z.B. 123.lan keine gültiger DNS-Name wäre. Daraufhin habe ich in den TCP/IP-Settings von abc.local einen der DNS-Server von 123.lan eingetragen und umgekehrt genau so.
Danach ging es und ich konnte den Assistenten bis zu der hier genannten Fehlermeldung durchführen. Ist das evtl. das Problem?

Bei deiner Umgebung würde ich wie folgt
vorgehen:

1. Auf den Primären DNS-Server
172.16.96.2 eine Stabzone für die
Domäne 123.lan einrichten. Als
IP-Adresse gibts du 172.16.128.202 ein. Achte
darauf, dass die Stabzone nicht AD-Integriert
eingerichtet wird.

2. Auf den Primären DNS-Server
172.16.128.202 eine Stabzone für die
Domäne abc.local einrichten. Als
IP-Adresse 172.16.96.2 hinterlegeben. Auch
hier die Stabzone nicht AD-Integriert
einrichten!

3. Vertrauenstellung noch mal
durchführen.
Bekommst du wieder die Fehlermeldung?

Probiere ich mal aus ...

Die Stubzonen habe ich eingerichtet, aber das Ergebnis war das selbe face-sad

Grüße
Azubi-Admin
Azubi-Admin 18.03.2008 um 23:57:46 Uhr
Goto Top
hmmm, komisch!!

Hast du mal nach der Fehlermeldung auf englisch gesucht.

http://mcpmag.com/forums/forum_posts.asp?tid=2522&pn=1&get=last

ähnliche Problematik.

Ich such mal morgen weiter, habe leider jetzt keine Zeit.
Suko4780
Suko4780 19.03.2008 um 08:15:36 Uhr
Goto Top
Hallo!

Zumindest kann ich jetzt das Problem etwas eingrenzen.

Ich habe bisher immer versucht bei dem Assistenten die Vertrauensstellung für beide Seiten gleichzeitig einzustellen. Da kam ja der schon bekannte Fehler.
Gestern habe ich es erst einmal nur für die eine Seite probiert und es ging! Auf dem Server 172.16.128.202 (123.lan) konnte ich die Stellung zu der anderen Domäne herstellen. Dabei muss man ja ein Passwort festlegen und dann den gleichen Vorgang am anderen Domain-Controller (abc.local) durchführen. Hier macht er nun allerdings wieder den leidigen Fehler face-sad

Es scheint also nur in die eine Richtung ein Problem zu sein. Allerdings bringt mich das ja nun auch nicht weiter face-wink

Aber vielleicht hilft das ja bei der Lösung?

Grüße und schon mal Danke für die Mühe!
Suko4780
Suko4780 20.03.2008 um 09:20:44 Uhr
Goto Top
Hallo!

Heute hat es nun endlich geklappt. Ich bin mir zwar nicht ganz sicher woran es nun genau lag, aber es muss wohl etwas mit Computerkonten zu tun haben.
Auf jeden Fall hatte ich heute einige Computerkonten in dem AD der Domäne abc.local die deaktiviert waren endgültig gelöscht.
Obwohl in dem AD der anderen Domäne 123.lan keine Konten mit diesen Namen gab (zumindest nicht aktuell) funktionierte es nach Löschung dieser Konten.

Kann es vielleicht sein das es diese Computerkonten in dieser Domäne früher einmal gab und sich das AD diese Informationen noch irgendwo zurück behält??? kann es mir nur so erklären ...

Trotzdem danke für die Hilfe und die Bemühungen!

Gruß

Michael
Azubi-Admin
Azubi-Admin 20.03.2008 um 22:45:50 Uhr
Goto Top
Na endlich, ist das Problem gelöst! Freut mich für dich!

Zu deiner Frage:

Eigentlich nicht, gelöscht Objekte in AD werden "zum löschen markiert" und nach 60 Tagen (ab SP 1 sind das 180 Tage) endgültig gelöscht.

Hier die genaue Erklärung dazu

http://blog.dikmenoglu.de/PermaLink,guid,f6157d8b-2424-4279-bb59-b55273 ...

Falls du weitere Probleme haben solltest, dann bitte hier posten oder direkt an mich schreiben.
Wir Administratoren müssen ja zusammenhalten.
Suko4780
Suko4780 25.03.2008 um 08:36:23 Uhr
Goto Top
Ok, danke noch mal für die Bemühungen!

Grüße

Michael