Vertrauensstellung Gesamtstruktur

[bm2004 10]

Hallo zusammen,

wir haben eine Vertrauensstellung mit 2 Gesamtstrukturen. Wenn man diese überprüft, sagt er sie sei verfizeirt und ist aktiv.

 

Auf der einen Seite funktioniert das auch, auf der anderen Seite bekomme ich dann ich dann im Eventlog folgende Meldung:

 

"Das sicherheitssystem hat einen Authentifizierungsfehler für den Server"abc@domäne.local" festgestellt. Der fehlercode des Authentifizierungsprotokolls Kerberos war "es stehen keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten!.

 

Event-ID 40960, Quelle LSASRV, Kategorie SPENGO!

 

Hat vielleicht irgendjemand einen Tip!

 

KB824217 und KB 823712 treffen nicht zu!!

[gysinma1 13]

Hallo

 

Trifft folgendes zu:

Betriebssystem Windows 2003 SP2 und Zugriff auf \\uncpfad einer Resource.

 

Funktioniert der Zugriff letztendlich "doch" ?

 

Gruss

Matthias

[bm2004 10]

Ja ist Windows Server 2003 SP2....

 

Der UNC Zugriff funktioniert auch nur von einer Seite, da komme ich direkt in die Domäne ohne Anmeldung.

 

Auf der anderen Seite per UNC bekommeihc eine Anmledmaske und muß mich dann authentifizieren!!

[gysinma1 13]

Okey ... Ja es gab mal mit dem SPENGO einen Bug mit einer Fehlermeldung bei trusts mit Windows 2003 SP2. Dies war ein kosmetischer Fehler. Bei Dir scheints jedoch nicht bei der Kosmetik zu bleiben.

 

Ich würde mal so vorgehen:

- DNS Einstellungen der DCs (zeigen die DCs auf die eigene Domain)

- Hast Du DNS Weiterleitungen auf die Trusted Domain gemacht resp. können die Domains über FQDN und DNS einander gegenseitig auflösen

- Hat die Resource von welcher Du auf die trusted Resource zugreift die eigenen (Domain)DNS eingetragen. Was ergibt auf der Resource ein netdiag

- Können beide Domains einander auflösen sowohl von den DCs wie auch von den Resourcen (auf FQDN und Netbios Basis)

- Ich gehe natürlich davon aus, dass die Domainresourcen korrekt gejoined sind

 

Für mich sieht das nach einem Namensproblem aus.

 

Gruss

Matthias

[bm2004 10]

Ja, den DNS habe ich vor und zurück geprüft...

 

Am Anfang hatte ich in beiden Strukturen eine Weiterleitung an die entsprechenden Domänen konfiguriert gehabt.

 

Jetzt habe ich jedoch die MOC Unterlagen, diese sagen, bevor man die Vertrauensstellung einrichtet sollte man in beiden Strukturen in den DNS Server eine Sek. Zone der anderen Domäne integrieren.

 

Das habe ich auch gemacht! Diese konnt eich ohne Probleme konfigurieren, sowie die Nameserver auflösen!!

 

Was meinst Du mit gejoined??

[gysinma1 13]

Hallo

 

Naja ich hatte schon murphies law, dass ausgerechnet der Server mit dem ich versuchte unsauber in der Domain war ...

 

Ja die Lösung mit den Zonen ist natürlich deutlich besser. Ich nehm an du hast mit dcdiag und netdiag schon alles durchprobiert ... gibt es noch WINS/Netbios ... ?

 

Gruss

Matthias

[bm2004 10]

HI,

 

Nein, WINS gibt es keinen.... Gut Netbios, was halt nornaml über die Domäne läuft, jetzt aber nicht mit prä Windows 2000 Maschinen.

 

 

Ja gut, unsaubere Domäne ist nicht soweit hergegriffen. Da muß wohl mal eine Domäne migriert worden sein. Aber halt ncht richtig, als ich die Gesamtstrukturebene heraufgestuft habe, kackte die Domäne ab, weil die FSMO Roles nicht sauber übertragen worden sind. Der alte DC steht noch irgendwo in der Domäne....

 

Ich gehe jetzt nochmal mit ntdsutil Meta cleanup dran und wirf die ganzen alten Einträge raus!!!Nochmals zum Verständnis:::

 

Domäne1 ------Vertrauensstellung-------- Domäne2(defekt)

Bi-Direktional

 

Von Domäne1 per UNC-Pfad erfordert Anmeldung bei Domäne2

 

Von Domäne2 per UNC-Pfad funktioniert problemlos

 

 

Kann ich dann davon ausgehen, dass das Problem auf Seiten der Domäne2 liegt???

 

Danke und Gruß

 

Manuel