wassollich 0 Geschrieben 29. August 2014 Melden Teilen Geschrieben 29. August 2014 (bearbeitet) Hallo, habe versucht, das Problem durch googeln zu lösen, leider ohne Erfolg. Wollte daher hier einmal anfragen, ob ich eine Lösung finde. Folgende Situation: Standort A: Alte SBS 2003 Domäne mit extra 2008R2 DC sb2003.local mit server3.sbs2003.local als dc ( alter sbs2003, 192.168.1.13 ) und dc2k8r2.sbs2003.local als 2. DC mit Windows 2008R2 (192.168.1.10 ) Standort B: 2008R2 DC standortb.sbs2003.local mit dc1.standortb.sbs2003.local (10.10.10.200) als einziger DC Beide Standorte sind physikalisch getrennt und per VPN miteinander verbunden. Probleme sind da nicht zu erkennen. Habe nun am Standort B eine untergeordnete Domäne erstellt. Windows hat dann ja automatisch eine bidirektionale und transistive Vertrauensstellung eingerichtet. Auf dem dc1.standortb.sbs2003.local wurde ich die Verbindung im Snap-In "Active Directory Domänen und Vertrauensstellungen" überprüfen. Die Überprüfung ist nicht erfolgreich. Es kommt die Meldung: Bei der Verifizierung des sicheren Kanals auf dem Active Directory-Domänencontroller "\\dc1.standordb.sbs2003.local" der Domäne "standordb.sbs2003.local" mit Domäne "sbs2003.local" ist folgender Fehler aufgetreten: Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung. Beim erneuten Festlegen des sicheren Kanals auf dem Active Directory-Domänencontroller "\\dc1.standordb.sbs2003.local" der Domäne "standordb.sbs2003.local" mit Domäne "sbs2003.local" ist folgender Fehler aufgetreten: Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung. Bei der Verifizierung des sicheren Kanals auf dem Active Directory-Domänencontroller "\\dc2k8r2.sbs2003.local" der Domäne "sbs2003.local" mit Domäne "standordb.sbs2003.local" ist folgender Fehler aufgetreten: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. Beim erneuten Festlegen des sicheren Kanals auf dem Active Directory-Domänencontroller "\\dc2k8r2.sbs2003.local" der Domäne "sbs2003.local" mit Domäne "standordb.sbs2003.local" ist folgender Fehler aufgetreten: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. Dies hat mich dazu veranlasst die Ereignisanzeige zu prüfen. Dort tauchen diese Fehler im Verzeichnisdienstlog auf. Ereignis ID 1645 Active Directory Domain_Service Der authentifizierte Remoteprozeduraufruf (RPC) an einen anderen Verzeichnisserver wurde von den Active Directory-Domänendiensten nicht ausgeführt, weil der gewünschte Dienstprinzipalname (SPN) für den Zielverzeichnisserver im Schlüsselverteilungscenter (KDC)-Domänencontroller, der zum SPN gehört, nicht registriert ist. Zielverzeichnisserver: 984e507e-abd0-4d8a-a868-1c3f23c07bb9._msdcs.sbs2003.local SPN: E3514235-4B06-11D1-AB04-00C04FC2DCD2/984e507e-abd0-4d8a-a868-1c3f23c07bb9/sparmit.local@sparmit.local Benutzeraktion Stellen Sie sicher, dass die Namen des Verzeichnisservers und der Domäne richtig sind. Stellen Sie außerdem sicher, dass der SPN auf dem KDC-Domänencontroller registriert ist. Wenn der Zielverzeichnisserver vor kurzem heraufgestuft wurde, wird es notwendig sein, für die lokalen Verzeichnisserver-Computerkontodaten auf den KDC zu replizieren, bevor dieser Verzeichnisserver authentifiziert werden kann. Im DNS-Log taucht dies auf Der DNS-Server wartet darauf, dass von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung des Verzeichnisses durchgeführt wurde. Der DNS-Serverdienst kann erst nach der Erstsynchronisierung gestartet werden, da wichtige DNS-Daten möglicherweise noch nicht auf diesen Domänencontroller repliziert wurden. Sofern die im Ereignisprotokoll der Active Directory-Domänendienste protokollierten Ereignisse deutlich machen, dass Probleme bei der DNS-Namensauflösung vorliegen, sollte ggf. die IP-Adresse eines weiteren DNS-Servers für diese Domäne der DNS-Serverliste in den Internetprotokolleigenschaften dieses Computers hinzugefügt werden. Dieses Ereignis wird alle zwei Minuten protokolliert, bis von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung durchgeführt wurde. Im Dateireplikationslog waren heute morgen diese beiden Einträge dcDer Dateireplikationsdienst hat einen aktivierten Datenträgerschreibungs-Cache in dem Laufwerk mit dem Verzeichnis "c:\windows\ntfrs\jet" auf dem Computer "dc1" ermittelt. Der Dateireplikationsdienst kann eventuell nicht wiederhergestellt werden, wenn die Stromzufuhr des Laufwerks unterbrochen wird und wichtige Aktualisierungen verloren gehen. Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers "DC1" zum Domänencontroller. Der Systemdatenträger wurde erfolgreich initialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger jetzt als SYSVOL freigegeben werden kann. Geben Sie "net share" ein, um die SYSVOL-Freigabe zu überprüfen. Komisch hier bei dem 2. Eintrag ist, dass ich doch gestern den Server heraufgestuft habe und alles durchlief. Dann ist mir im Anwendungslog noch dies aufgefallen Die Zertifikatregistrierung für Lokales System konnte sich nicht für ein Zertifikat DomainController mit der Anforderungs-ID N/A von server3.sbs2003.local\SECURE (Der RPC-Server ist nicht verfügbar. 0x800706ba (WIN32: 1722)) registrieren. DCDIAG liefert dies Das ist jetzt eine Menge Input, aber ich hoffe, jemand anderes wird daraus schlau. Mir fehlt es da leider an der nötigen Kenntnis der Materie. Grüße, wassollich Hier jetzt der output von dcdiag dcdiag.txt bearbeitet 29. August 2014 von Lian Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 29. August 2014 Melden Teilen Geschrieben 29. August 2014 In einer SBS Domäne kann man keine Vertrauensstellungen erstellen. Zitieren Link zu diesem Kommentar
wassollich 0 Geschrieben 29. August 2014 Autor Melden Teilen Geschrieben 29. August 2014 (bearbeitet) Uhhh, das heisst, ich muss den server3.sbs2003.local erst auflösen? bearbeitet 29. August 2014 von wassollich Zitieren Link zu diesem Kommentar
Lian 2.332 Geschrieben 29. August 2014 Melden Teilen Geschrieben 29. August 2014 @wassollich: Bitte zukünftig Ausgaben mit mehr als 20 Zeilen als Anhang (Text) beifügen. Der dcdiag hat über 2000 Zeilen, das ist für ein Post ein bisschen viel - willkommen in der Scrollhölle ;) Habe das mal für Dich erledigt. Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 29. August 2014 Melden Teilen Geschrieben 29. August 2014 Uhhh, das heisst, ich muss den server3.sbs2003.local erst auflösen? Richtig, das sind die kleinen Einschränkungen eines SBS. ;) Zitieren Link zu diesem Kommentar
wassollich 0 Geschrieben 29. August 2014 Autor Melden Teilen Geschrieben 29. August 2014 Danke Euch. Die Auflösung steht jetzt eh an. Bin froh wenn der Dinosaurier endlich weg ist :jau: Zitieren Link zu diesem Kommentar
wassollich 0 Geschrieben 10. September 2014 Autor Melden Teilen Geschrieben 10. September 2014 Tja, SBS 2003 ist endlich aufgelöst, aber die Probleme der Vertrauensstellung bleiben leider gleich. Wie und wo kann ich suchen? Die Logeinträge habe sich nicht verbessert. Hier nochmal ein Eintrag aus dem Verzeichnisdienstlog des DCS in der untergeordneten Domäne. Der authentifizierte Remoteprozeduraufruf (RPC) an einen anderen Verzeichnisserver wurde von den Active Directory-Domänendiensten nicht ausgeführt, weil der gewünschte Dienstprinzipalname (SPN) für den Zielverzeichnisserver im Schlüsselverteilungscenter (KDC)-Domänencontroller, der zum SPN gehört, nicht registriert ist. Zielverzeichnisserver: 764a690a-d718-4485-bc55-6e96caa7149b._msdcs.xxxxx.local SPN: E3514235-4B06-11D1-AB04-00C04FC2DCD2/764a690a-d718-4485-bc55-6e96caa7149b/xxxx.local@xxxx.local Benutzeraktion Stellen Sie sicher, dass die Namen des Verzeichnisservers und der Domäne richtig sind. Stellen Sie außerdem sicher, dass der SPN auf dem KDC-Domänencontroller registriert ist. Wenn der Zielverzeichnisserver vor kurzem heraufgestuft wurde, wird es notwendig sein, für die lokalen Verzeichnisserver-Computerkontodaten auf den KDC zu replizieren, bevor dieser Verzeichnisserver authentifiziert werden kann. Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 10. September 2014 Melden Teilen Geschrieben 10. September 2014 (bearbeitet) Wenn ich mich recht entsinne, bleibt es auch beim abschalten/deaktivieren des SBS Servers an sich immer noch bei einer, nennen wir es mal der Einfachheit halber so, SBS-Domäne. Das lässt sich aber nur mit dem Transition Pack in eine "ordentliche" Domäne umwandeln: http://support.microsoft.com/kb/555073/de http://blogs.technet.com/b/moloyt/archive/2007/10/10/sbs-2003-transition-pack.aspx Grüsse Gulp bearbeitet 10. September 2014 von Gulp Zitieren Link zu diesem Kommentar
wassollich 0 Geschrieben 11. September 2014 Autor Melden Teilen Geschrieben 11. September 2014 Dachte bisher, dass die Transition Packages nur der Umlizenzierung innerhalb einer Version dienen, also da 2003 SBS auf 2003. Ich habe ja nun eine Vollversion Windows 2k8 R2 als DC. Kann mir ehrlich gesagt nicht vorstellen, warum ich nun immer noch im SBS Mode sein sollte. Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 11. September 2014 Melden Teilen Geschrieben 11. September 2014 (bearbeitet) Dachte bisher, dass die Transition Packages nur der Umlizenzierung innerhalb einer Version dienen, also da 2003 SBS auf 2003. Ich habe ja nun eine Vollversion Windows 2k8 R2 als DC. Kann mir ehrlich gesagt nicht vorstellen, warum ich nun immer noch im SBS Mode sein sollte. Wenn der SBS Mode nicht mehr aktiv wäre, könntest Du ja ohne Einschränkungen mit Vertrauensstellungen arbeiten, der TechNet Artikel ist da doch recht eindeutig, oder nicht? You can achieve the following task after installing the SBS 2003 transition pack, which otherwise is not possible in SBS 2003 because of product design limitation. - Transfer the Flexible Single Master Operations (FSMO) roles to another domain controller - Establish two-way trust relationship with another Domain - Add child domains to the existing AD forest - Move server applications to another server (for e.g. You can move Exchange Server 2003 to another server for better performance) - Enable Terminal Server in Application Sharing mode - Remove the 75 users/device limit - Increase the max number of processors supported from two to four Grüsse Gulp bearbeitet 11. September 2014 von Gulp Zitieren Link zu diesem Kommentar
wassollich 0 Geschrieben 11. September 2014 Autor Melden Teilen Geschrieben 11. September 2014 So eindeutig ist es eben nicht, denn das dortige Scenario beschreibt nur den Wechsel innerhalb 2003 Lies Dir dies durch http://blogs.technet.com/b/infratalks/archive/2012/09/07/transition-from-small-business-server-to-standard-windows-server.aspx Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 11. September 2014 Melden Teilen Geschrieben 11. September 2014 Das mein Link "nur" den Wechsel vom 2003 nach 2003 (man kann den 2003 SBS sogar dann behalten, da er zum 2003 Standard wird), ist mir klar, ich will ja auch nur damit klar machen, dass sich eine normale Domäne von einer SBS Domäne funktional unterscheidet. Wenn Du auch nach der von Dir verlinkten Anleitung vorgegangen bist und diese Transition/Migration, vor allem das Schemaupgrade und das nachfolgende Promoten des 2008er mit nachfolgendem Abschalten Deines 2003 SBS entsprechend durchgeführt hast, ist das auch so. Du hast aber im Eingangspost nur von bereits erstellten Vertrauenstellungen berichtet und von bereits installierten 2008 R2 Servern. Diese lassen sich eben nicht nachträglich einfach so umwandeln, sondern es muss zwingend ein neuer ohne AD verwendet werden, der dann (quasi hilfsweise als Ersatz fürs Transition Pack) ein neues und dann ohne die SBS Einschränkungen AD mit dcpromo erzeugt. Da ich aus Deinen bisherigen Ausführungen nicht entnehmen kann, dass die 2008 R2 demoted wurden und ein der Anleitung entsprechendes neues AD erzeugt wurde, sondern nur lesen kann, dass Du den SBS entfernt hast, bist Du zwangsläufig noch in einer SBS Domäne mit den bekannten Einschränkungen. Andernfalls würde ja auch die Vertrauensstellung funktionieren. Grüsse Gulp Zitieren Link zu diesem Kommentar
wassollich 0 Geschrieben 18. September 2014 Autor Melden Teilen Geschrieben 18. September 2014 Entweder bin ich zu b***d zu verstehen, was Du mir sagen willst, oder wir reden aneinander vorbei. Ich habe den Wechsel von SB2003 auf W2k8 R2 so durchgeführt, wie es in diesem Technet http://blogs.technet.com/b/infratalks/archive/2012/09/07/transition-from-small-business-server-to-standard-windows-server.aspx Artikel steht. Ich verstehe den Artikel so, dass danach alle SBS Beschränkungen aufgehoben sind. Das von Dir angesprochene Schemaupgrade wurde durchgeführt, nachdem die untergeordnete Domäne erstellt wurde. Ist das vielleicht der Knackpunkt? Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 18. September 2014 Melden Teilen Geschrieben 18. September 2014 Zum einen das, zum anderen würde ich mal auf dem 2. DC nachschauen, ob es das Schemaupgrade durchs VPN geschafft hat. Grüsse Gulp Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.