Vertrauensstellung zwischen zwei Domänen und gleichen DC-Servernamen nicht möglich

[NO-WSUS 0]

Hallo Mitglieder,

 

ich habe eine Teststellung mit zwei virtuellen Domänencontrollern in zwei verschiedenen Netzen, mit zwei verschiedenen Domänen, verbunden über einen Router.

 

Beide Maschinen wurden separat mit Windows Server 2016 installiert. Nicht geklont. DNS ist mit primären Zonen und der Weiterleitung zum Router eingerichtet. AD-Rolle ist installiert und die Maschinen wurden zu DCs hochgestuft. Ebenso ist eine bedingte Weiterleitung zu dem jeweils anderen DC eingerichtet. Namensauflösung per NSLOOKUP ist auch erfolgreich. Dateizugriff auf eine Freigabe des jeweils anderen Servers mit Kennwortabfrage ist auch erfolgreich. Die beiden Maschinen heißen jeweils "DC1" mit der "domain-a.local" und mit der "domain-b.local".

 

Ein Problem ist aber scheinbar, dass beide DCs gleich heißen (DC1). Ich kann die Vertrauensstellung auf einem DC mit dem Assistenten lokal und dem entfernten DC abschließen. Aber ich erhalte beim Abschluss die Fehlermeldung "Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar". Dennoch sind die Einträge bei beiden DCs in der Vertrauensstellung sichtbar.

 

Ich kann dann auch nicht mehr per Dateizugriff jeweils auf den anderen Server zugreifen. Erst, wenn ich die Vertrauensstellung wieder entferne, ist das wieder möglich.

 

Habt ihr eine Idee, wo hier der Teufel im Detail steckt?

bearbeitet 31. August 2018 von NO-WSUS
Titel falsch

[lefg 276]

Moin

 

Wie wäre es, einen Server versuchsweise umzubenennen?

[NO-WSUS 0]

Gerade eben schrieb lefg:

Moin

 

Wie wäre es, einen Server versuchsweise umzubenennen?

Leider ist das nicht möglich, da die Teststellung 1zu1 ein Nachbau eines Produktiv-Systems ist. Nach erfolgreicher Vertrauensstellung soll dies so im Produktiv-System umgesetzt werden. Ich kann dann die Server im Produktiv-System auch nicht umbenennen.

[Dukel 436]

Dann wirst du wohl keinen Trust erstellen können. So einfach.

 

Gibt es in der produktion nur einen DC pro Domäne? Wieso kannst du den DC in der Produktion nicht umbennen?

[NO-WSUS 0]

vor 5 Minuten schrieb Dukel:

Dann wirst du wohl keinen Trust erstellen können. So einfach.

Gibt es in der produktion nur einen DC pro Domäne? Wieso kannst du den DC in der Produktion nicht umbennen?

 

Naja, einfach ist das nicht. Es muss ja Gründe für diesen Fehler geben. Ich bin sicher nicht der einzige auf der Welt, der diese Konstellation hat

Ja, es ist jeweils nur ein einziger DC in der Domäne.  In einer produktiven Umgebung den einzigen DC, inklusive festgelegter Freigaben und AD, umzubenennen kein professioneller Weg und würde zu massiven Störungen im Betriebsablauf führen.

bearbeitet 31. August 2018 von NO-WSUS

[Dukel 436]

In einer Produktiven Umgebung nur einen DC (und diesen noch alles machen zu lassen) zu haben ist auch kein professioneller Weg.

Sowas macht man auch nicht während des Betriebs sondern an einem Wartungsfenster. Aber mit nur einem DC wird das eh umständlich.

 

[NO-WSUS 0]

Für Ideen oder Lösungsvorschläge für die Problematik wäre ich sehr dankbar.

[Dukel 436]

Die willst du ja nicht hören.

[NO-WSUS 0]

Die bisherigen Vorschläge kann ich wegen der gegebenen Umstände leider nicht umsetzen.

[lefg 276]

Zitat

In einer produktiven Umgebung den einzigen DC, inklusive festgelegter Freigaben und AD, umzubenennen kein professioneller Weg und würde zu massiven Störungen im Betriebsablauf führen.

Und welche massiven Störungen sollen das sein? Wieso Freigaben, welche Freigaben? Professionell ist ein DC nur DC und kein Filer oder Printer. Und welche Störungen sollte das AD dabei erleiden?

 

Ich erinnere mich an einen Bericht über eine Schulung: Der Dozent gab dem am Samstagmorgen eine Aufgabe und setzte sich ab. Die Kursteilnehmer waren am verzeifeln, sie können die Aufgabe nicht lösen. Mittags kam der Dozent zurück, hörte sich die Klagen an und: Genau das solleten Sie rausfinden. Die Aufgabe war nicht lösbar.

 

OT, Frage an alle: Ob man heute einem DC einen zweiten NetBIOS-Name verpassen kann?

 

 

bearbeitet 31. August 2018 von lefg

[NorbertFe 1.799]

vor 18 Stunden schrieb NO-WSUS:

Die bisherigen Vorschläge kann ich wegen der gegebenen Umstände leider nicht umsetzen.

Dann füge in die Produktion eben für die Migration je einen neuen dc ein. So: Problem professionell gelöst.

[NO-WSUS 0]

Hallo NorbertFe,

 

leider will der Kunde in eine Windows Lizenz für einen weiteren DC nicht investieren. Daher würde ich gern einen zweiten DC installieren, kann es jedoch nicht.

[NilsK 2.785]

Moin,

 

tja ... keine Arme, keine Kekse. Also entweder einen der DCs umbenennen oder auf den Trust verzichten.

 

Gruß, Nils

 

[NorbertFe 1.799]

Am 31.8.2018 um 15:56 schrieb NO-WSUS:

Die bisherigen Vorschläge kann ich wegen der gegebenen Umstände leider nicht umsetzen.

Tja, dann hat sich deine Problemlösung hier dann erschöpft. Du hast jetzt mehrere Varianten genannt bekommen und wenn keine davon in Frage kommt, dann wirst du wohl ohne Trust auskommen müssen. :)