hannsgmaulwurf
Goto Top

Vertrauensstellung zwischen zwei Domänen verloren nach Neustart Server

Hallo zusammen,

da die Probleme mit verlorener Vertrauensstellung, die man so ergooglet, sich meist mit der Konstellation Server-Client befassen, frage ich euch mal.

Wir haben zwei getrennte Standorte mit je einem Server Windows Server 2008 R2 als Domaincontroller und entsprechender Domain + AD usw., z.B. FIRMAXY-BONN.LOCAL und FIRMAXY-BERLIN.LOCAL. Beide Standorte sind via VPN verbunden und es besteht eine Vertrauensstellung, sodass die AD User aus Bonn auf die Freigaben (NTFS, Drucker usw.) in Berlin zugreifen können und andersrum.

Die Vertrauensstellungen sind jeweils extern und nicht tranisitv (siehe Screenshot unten).

Das funktioniert auch alles. Allerdings stehe ich immer wieder vor folgendem Problem: Sobald einer der beiden Server neugestartet wurde (z.B. wegen Updates), funktioniert die Vertrauensstellung seitens des anderen Servers nicht mehr.

Beispiel:
Server Bonn wird neugestartet. Danach wird auf Server Bonn der Status der Vertrauensstellung geprüft:
Active Directory-Domänen und -Vertrauensstellungen [Server-Bonn.Firmaxy-Bonn.local]
--> Rechtsklick auf Domain Firmaxy-Bonn.local --> Eigenschaften --> Register Vertrauensstellungen
--> Klick auf die gegenüberliegende Domain Firmaxy-Berlin.local --> Eigenschaften --> Überprüfen
--> Ergebnis OK: "Die ausgehende Vertrauensstellung wurde bestätigt. Sie ist vorhanden und aktiv." (Sowohl bei ausgehenden als auch bei eingehenden Vertrauensstellungen).

Wird das gleiche nun allerdings auf dem nicht neugestarteten Server Server-Berlin.Firmaxy-berlin.local geprüft, so erhält man sowohl bei ausgehender als auch bei eingehender Vertrauensstellung die Fehlermeldung "Beim erneuten Festlegen des sicheren Kanals auf dem Active Directory-Domänencontroller "\\Server-Berlin.Firmaxy-Berlin.loacl" der Domäne "Firmaxy-Berlin.local" mit Domäne "Firmaxy-Bonn.local" ist folgender Fehler aufgetreten: Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar.
"
:

689ab18c6aea57a237713134f63c22de

Erst wenn man den zweiten Server dann auch neustartet funktioniert es wieder.

Ist das normal?
Habe ich beim Einrichten etwas falsch gemacht?

Ich bin wie immer für jeden Tipp und/oder Denkanstoß dankbar face-smile

Schöne Grüße

Content-Key: 286133

Url: https://administrator.de/contentid/286133

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: killtec
killtec 20.10.2015 aktualisiert um 13:04:15 Uhr
Goto Top
Hi,
warum zwei getrennte Domänen in einer Firma? Kannst du nicht eine daraus machen? Ist glaube ich besser...

Gruß
Mitglied: hannsgmaulwurf
hannsgmaulwurf 20.10.2015 um 13:07:25 Uhr
Goto Top
Hallo killtec,

warum zwei getrennte Domänen in einer Firma?
Das ist historisch so gewachsen - der gegenseitige Zugriff war damals nicht geplant/vorgesehen. Wie es halt immer so ist... face-smile

Kannst du nicht eine daraus machen? Ist glaube ich besser...
Das zwar auch meine Wunschlösung, ist aber u.a. aufgrund des zeitlichen Aufwands und der Ausfallzeiten (wenigstens auf einer Seite) keine Option.
Mitglied: clSchak
clSchak 20.10.2015 um 22:58:16 Uhr
Goto Top
Hi

welche Ausfallzeit? Über welche Anzahl von Benutzer sprechen wir unter 100? Dann ist das unter normalen Umständen ein Samstag und die Benutzer, Gruppen und Computer sind migriert. Das einzige was Zeit kostet ist die migration der Fileserver... ok wenn 2 Exchange im Einsatz ist zieht sich evtl. länger aber ich würde das schnellstmöglich zusammenführen, das erspart einen immer wieder den doppelten Pflegeaufwand - vor allem wenn es eine Firma ist ...

Für eine Migration ist ADMT dein bester Freund, damit kann man nicht mehr viel falsch machen. Vorher sollte aber die Vertrauensstellung anstandslos funktionieren und DNS auch. Kannst es ja mal mit einer Handvoll Benutzer testen dann siehst wie es läuft face-wink

Gruß
@clSchak
Mitglied: hannsgmaulwurf
hannsgmaulwurf 21.10.2015 um 07:53:36 Uhr
Goto Top
Hallo clSchak,

welche Ausfallzeit? Über welche Anzahl von Benutzer sprechen wir unter 100? Dann ist das unter normalen Umständen ein Samstag und die Benutzer, Gruppen und Computer sind migriert.
Es sind zwar unter 100 User, aber die Büros sind 7 Tage die Woche rund um die Uhr besetzt. OK, nachts etwas weniger als tagsüber aber trotzdem käme es zu Ausfallzeiten, die einfach nicht gewünscht sind. Trotzdem Danke für deinen Post face-smile

Vielleicht findet sich ja noch jemand, der etwas zu dem eigentlichen Problem sagen kann?
Mitglied: hannsgmaulwurf
hannsgmaulwurf 03.11.2015 um 14:43:21 Uhr
Goto Top
Hallo zusammen,

ich aktualisiere diesen Thread noch mal (er war nicht gelöst - keine Ahnung, warum er als gelöst markiert war bzw. warum ich ihn - ungewollt - so markiert habe).

Mir ist aufgefallen, dass das Problem nicht nur beim Neustart eines Servers besteht, sondern auch schon, wenn mal kurz die Internetleitung auf einer Seite weg ist (z.B. durch Router-neustart). Also scheinbar tritt das Problem auf, sobald eine dauerhafte/permanente Verbindung nur kurz unterbrochen wird....

Ich habe mittlerweile auch schon die externe, nicht transitive Vertrauensstellung auf beiden Seiten gelöscht und eine Gesamtstrukturvertrauensstellung eingerichtet - ohne Erfolg bzw. Problem besteht weiterhin.

Auch das Löschen und neu Anlegen der sekundären Forwardlookupzonen im jeweilgen DNS brachte keine Verbesserung... face-sad

Vielleicht hat ja doch noch jemand eine Idee und/oder kennt dieses Problem und weiß Rat?!?
Mitglied: Xaero1982
Xaero1982 19.10.2016 um 18:13:38 Uhr
Goto Top
Gibt es hier schon was neues?

Ich vermute, ich habe das gleiche Problem face-smile
Mitglied: hannsgmaulwurf
hannsgmaulwurf 19.10.2016 um 18:20:16 Uhr
Goto Top
Hallo. Nein, nichts neues. Ich habe mich damit abgefunden, dass ich - wenn die betroffenen Server auf beiden Seiten wegen Updates etc. neugestartet werden müssen, ich dies nacheinader tue und im Anschlus daran die Vertrauensstellung von beiden Seiten aus teste. Meist klappt alles aber manchmal auch nicht, dann starte ich den Server auf der betroffenen Seite nochmal neu und dann gehts meistens.
Mitglied: Xaero1982
Xaero1982 20.10.2016 um 20:31:53 Uhr
Goto Top
face-sad Okay ... danke dir!