Hallo Community,
nach Jahren habe ich endlich mal wieder ein Microsoft Projekt zu realisieren und stoße promt auf ein sehr ungewöhnliches Verhalten...
Wir erstellen für unser Büro aktuell eine neue Domain und wollen die User / Dienste aus der alten Domain (domain1.local) in die neue Domain (office.domain2.de) migrieren.
Zum Aufbau:
domain1.local = Domänen- & Funktionslevel = Server 2008 R2
office.domain2.de = Domänen- & Funktionslevel = Server 2016 (installiert auf MS Windows Server Core 2019)*
Die beiden Domains sind über einen S2S IPSec VPN Tunnel verbunden (permit ip any any).
*hier die erste Unstimmigkeit - Problem 1:
Lasse ich mir das Domänen- & Funktionslevel über die GUI anzeigen, wird mir wie erwartet Server 2016 angezeigt. Frage ich das per PowerShell ab bekomme ich folgende Ausgabe:
PS C:\Users\adm.xxx\Documents> [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()
Forest : office.domain2.de
DomainControllers : {DC01.office.domain2.de, DC02.office.domain2.de}
Children : {}
DomainMode : Unknown
DomainModeLevel : 7
Parent :
PdcRoleOwner : DC01.office.domain2.de
RidRoleOwner : DC01.office.domain2.de
InfrastructureRoleOwner : DC01.office.domain2.de
Name : office.domain2.de
Möchte ich den Domain Mode setzen kommt folgender Fehler:
PS C:\Users\adm.xxx> Set-ADDomainMode -DomainMode Windows2016Domain -Identity office.domain2.de -AuthType Basic -Credential (Get-Credential OFFICE\adm.xxx)
Set-ADDomainMode : Es kann keine Verbindung mit dem Server hergestellt werden. Dies liegt möglicherweise daran, dass der Server nicht vorhanden oder
derzeit ausgefallen ist oder dass darauf nicht Active Directory-Webdienste ausgeführt wird.
In Zeile:1 Zeichen:1
+ Set-ADDomainMode -DomainMode Windows2016Domain -Identity office.domain2 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ResourceUnavailable: (office.domain2.de:ADDomain) [Set-ADDomainMode], ADServerDownException
+ FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.SetADDomainMode
Die AD-WebServices sind jedoch installiert und laufen. Auch kommt diese Meldung, wenn ich das direkt auf dem betroffenen DC ausführe.
In der domain1.local steht unter DomainMode ebenfalls wie erwartet Server 2008 R2.
-------------------------------
Problem 2:
DNS wird über ein Forwarding gemacht. Alle DCs (2 je Domain) können sich problemlos gegenseitig erreichen (ping + telnet auf alle relevanten Ports ist erfolgreich in alle Richtungen).
Allerding kann ich den Trust nur von domain1.local nach office.domain2.de einrichten. Wenn ich das so mache, kann ich auch Objekte aus office.domain2.de auf Ressourcen in domain1.local berechtigen.
Umgekehrt funktioniert das leider nicht. In office.domain2.de ist der eingerichtet Trust zwar sichtbar (nachdem er in domain1.local eingerichtet wurde) jedoch kann nicht auf Objekte / Ressourcen aus domain1.local zugegriffen werden.
Lasse ich den Trust über die MMC überprüfen erscheint folgende Fehlermeldung (s. Anhang: FehlerTrust_office.domain2.de.jgp)
Im Eventprotokoll finde ich leider keine weiteren Hinweise, was hier schief läuft :/
Ich bin für jeden Hinweis dankbar.
LG r4