Probleme mit Vertrauensstellung

[passt 10]

Hallo allerseits,

 

ich habe eine existierende Vertrauensstellung zwischen zwei Domänen. Dom_A hat als DCs Win2003 und Dom_B zwei Win2k Server.

 

Von der Win2003 Domäne Dom_A kann ich in den NTFS-Sicherheitseinstellungen das ActiveDirectory der Dom_B erreichen, während es umgekehrt nicht klappt.

 

Hat jemand eine Idee was ich da machen kann?

 

---

zur Ergänzung:

Die Vertrauensstellung ist vom Typ 'extern' und 'nicht transitiv'.

 

Gruß,

Peter

[passt 10]

Kann ich die bestehende Vertrauensstellung auflösen und wieder neu hinzufügen?

 

Hat das Auswirkungen auf bereits bestehende Sicherheitsrechte, die sich auf die jeweils andere Domäne beziehen?

[passt 10]

Das Problem ist leider immer noch nicht gelöst. Ich konnte es aber einkreisen.

 

Am DNS und WINS auf dem PDC der W2k Domäne Dom_B werden die entsprechenden Server der anderen Domäne angezeigt und sind erfolgreich verbunden.

 

Innerhalb der W2003 Domäne Dom_A werden die Server der anderen W2k Domäne mit "Zugriff verweigert" und rot markiert angezeigt.

 

Ist das jetzt ein Symptom oder die Ursache, dass die Vertrauensstellung auf einmal nicht mehr funktioniert?

 

 

---

Ausgelöst hat diese Störung in der Vertrauensstellung, dass am Wochenende die Server der W2k Domäne virtualisiert worden sind und dabei ein falsches Datum am VMWare Converter gesetzt wurde.

---

[frommi 10]

Hast du versucht, die Vertrauensstellung bzw. das Trust-Geheimnis zwischen den beiden Domänen mittels "netdom trust ... /reset" zurückzusetzen?

[passt 10]

Nein, mit dem Konsolenm-Befehl netdom habe ich es nicht versucht.

 

Inzwischen habe ich auch über "Active Directory-Domänen und -Vertrauensstellungen" auf beiden Seiten die Vertrauensstellung entfernt. Mit dem Ergebnis, dass nach einem Neustart der beteiligten DCs, sich auf dem W2k Server der Dom_B die Vertrauensstellung nicht mehr einrichten lässt. Ich erhalte dann die Fehlermeldung:

Die Verifizierung des sicheren Kanals auf dem Domänencontroller ist fehlgeschlagen. Fehler: Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung.
Das erneute Festlegen des sicheren Kanals auf dem Domänencontroller ist fehlgeschlagen. Fehler: Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung.
Die Verifizierung des sicheren Kanals auf dem Domänencontroller ist fehlgeschlagen. Fehler: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.
Das erneute Festlegen des sicheren Kanals auf dem Domänencontroller ist fehlgeschlagen. Fehler: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

Auf dem W2k3 DC der Dom_A lässt die Vertrauensstellung sich zwar einrichten, aber nicht auf der Gegenseite der Dom_B überprüfen (klar!).

 

Im Internet habe ich bisher gelesen, dass es sich dabei um ein DNS-Problem handelt. Das kann ich aber so nicht nachvollziehen. Die jeweils andere DNS-Domäne ist je als sekundäre Forward-Lookupzone eingetragen.

 

Noch eine Idee?

[passt 10]

So, das Problem ist gelöst.

 

Nachdem ich in beiden Domänen in den DNS-Servern die sekundären Forward-Lookupzonen, die auf die jeweils andere Domäne verweisen, gelöscht und wieder neu angelegt habe, konnte die Vertrauensstellung erfolgreich hergestellt werden.

[passt 10]

Eine kleine Ergänzung noch. Das eigentliche Problem aus dem ersten Beitrag, dass innerhalb der W2k Domäne Dom_B nicht die User der W2k3 Domäne Dom_A angezeigt werden, existiert weiterhin.

 

Andererseits funktioniert derzeit der Zugriff auf Freigaben und Drucker von Dom_A nach Dom_B wieder, was der eigentliche Anlass dieses Threads war.