r4z13l 12 Geschrieben 2. September 2020 Melden Teilen Geschrieben 2. September 2020 (bearbeitet) Hallo Community, nach Jahren habe ich endlich mal wieder ein Microsoft Projekt zu realisieren und stoße promt auf ein sehr ungewöhnliches Verhalten... Wir erstellen für unser Büro aktuell eine neue Domain und wollen die User / Dienste aus der alten Domain (domain1.local) in die neue Domain (office.domain2.de) migrieren. Zum Aufbau: domain1.local = Domänen- & Funktionslevel = Server 2008 R2 office.domain2.de = Domänen- & Funktionslevel = Server 2016 (installiert auf MS Windows Server Core 2019)* Die beiden Domains sind über einen S2S IPSec VPN Tunnel verbunden (permit ip any any). *hier die erste Unstimmigkeit - Problem 1: Lasse ich mir das Domänen- & Funktionslevel über die GUI anzeigen, wird mir wie erwartet Server 2016 angezeigt. Frage ich das per PowerShell ab bekomme ich folgende Ausgabe: PS C:\Users\adm.xxx\Documents> [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain() Forest : office.domain2.de DomainControllers : {DC01.office.domain2.de, DC02.office.domain2.de} Children : {} DomainMode : Unknown DomainModeLevel : 7 Parent : PdcRoleOwner : DC01.office.domain2.de RidRoleOwner : DC01.office.domain2.de InfrastructureRoleOwner : DC01.office.domain2.de Name : office.domain2.de Möchte ich den Domain Mode setzen kommt folgender Fehler: PS C:\Users\adm.xxx> Set-ADDomainMode -DomainMode Windows2016Domain -Identity office.domain2.de -AuthType Basic -Credential (Get-Credential OFFICE\adm.xxx) Set-ADDomainMode : Es kann keine Verbindung mit dem Server hergestellt werden. Dies liegt möglicherweise daran, dass der Server nicht vorhanden oder derzeit ausgefallen ist oder dass darauf nicht Active Directory-Webdienste ausgeführt wird. In Zeile:1 Zeichen:1 + Set-ADDomainMode -DomainMode Windows2016Domain -Identity office.domain2 ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ResourceUnavailable: (office.domain2.de:ADDomain) [Set-ADDomainMode], ADServerDownException + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.SetADDomainMode Die AD-WebServices sind jedoch installiert und laufen. Auch kommt diese Meldung, wenn ich das direkt auf dem betroffenen DC ausführe. In der domain1.local steht unter DomainMode ebenfalls wie erwartet Server 2008 R2. ------------------------------- Problem 2: DNS wird über ein Forwarding gemacht. Alle DCs (2 je Domain) können sich problemlos gegenseitig erreichen (ping + telnet auf alle relevanten Ports ist erfolgreich in alle Richtungen). Allerding kann ich den Trust nur von domain1.local nach office.domain2.de einrichten. Wenn ich das so mache, kann ich auch Objekte aus office.domain2.de auf Ressourcen in domain1.local berechtigen. Umgekehrt funktioniert das leider nicht. In office.domain2.de ist der eingerichtet Trust zwar sichtbar (nachdem er in domain1.local eingerichtet wurde) jedoch kann nicht auf Objekte / Ressourcen aus domain1.local zugegriffen werden. Lasse ich den Trust über die MMC überprüfen erscheint folgende Fehlermeldung (s. Anhang: FehlerTrust_office.domain2.de.jgp) Im Eventprotokoll finde ich leider keine weiteren Hinweise, was hier schief läuft :/ Ich bin für jeden Hinweis dankbar. LG r4 bearbeitet 2. September 2020 von r4z13l Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 2. September 2020 Melden Teilen Geschrieben 2. September 2020 Moin, tu dir einen Gefallen und installiere den neuen DC mit GUI, nicht als Core-Variante. Die Core-Installation wird allgemein weit überschätzt. Sie hat nahezu keinen Sicherheitsvorteil, dafür aber enorm viele Nachteile, sobald es ans Troubleshooting geht. Ansonsten ist aus den Informationen jetzt nicht zu erkennen, wo genau der Fehler liegt. Wenn es machbar ist, installiere mit GUI neu, richte die Domäne neu ein und dann sehen wir weiter. Die Anmerkungen zu DNS verstehe ich nicht recht. Da DNS aber kritisch für das AD ist (und möglicherweise hier auch die Ursache der Probleme), solltest du da so wenige "Besonderheiten" drin haben wie möglich. Verstehe ich richtig, dass die Domänen an unterschiedlichen Standorten sind? Falls ja - spräche etwas dagegen, die neue Domäne zunächst am "alten" Standort einzurichten, bis alles läuft (auch mit dem Trust) und erst später die Standorte zu trennen? Gruß, Nils Zitieren Link zu diesem Kommentar
r4z13l 12 Geschrieben 2. September 2020 Autor Melden Teilen Geschrieben 2. September 2020 Guten Morgen Nils, vielen Dank für deinen Hinweis. Meines Wissens nach kann bei Server 2019 die GUI nicht mehr nachinstalliert werden. Hier müssten also neu DCs installiert und das ganze auf diese verschoben werden (was viel Aufwand bedeutet). Zur DNS - Anmerukung: Was meinst du damit? Zu den Standorten: Ja, die DCs laufen an unterschiedlichen Standorten und können nur über L3 miteinander kommunizieren. Andes geht es leider nicht. LG r4 Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 2. September 2020 Melden Teilen Geschrieben 2. September 2020 Moin, ja, genau. Ich meine neu installieren. Was würde denn da jetzt viel Aufwand bedeuten? Du könntest ja, wenn jetzt schon Arbeit in die Domäne geflossen ist, auch einfach einen weiteren DC mit GUI installieren und den Core-DC erst mal weiterlaufen lassen. Mit DNS meine ich: Du sagst irgendwas von Forwarder usw., ohne Details zu nennen. Hinter solchen Aussagen verbergen sich manchmal komplexe Konstrukte, die dazu führen, dass die DNS-Auflösung zwar theoretisch gehen müsste ("ganz bestimmt!"), aber eben auch nur theoretisch. DNS muss ordentlich laufen, von beiden Seiten, sonst wird das mit Trust und Migration nichts werden. Gruß, Nils Zitieren Link zu diesem Kommentar
r4z13l 12 Geschrieben 2. September 2020 Autor Melden Teilen Geschrieben 2. September 2020 ah jetzt :) Also mit DNS meine ich, dass ich auf beiden Seiten nur ein forwarding für die jeweil andere Domäne konfiguriert habe, keinen Zonenübertragung o.ä. Einen dritten DC (mit GUI) installiere ich bereits. LG r4 Zitieren Link zu diesem Kommentar
r4z13l 12 Geschrieben 3. September 2020 Autor Melden Teilen Geschrieben 3. September 2020 Guten Morgen Zusammen, der Trust funktioniert nun wie er soll. Was wurde getan: 1.) Einen weiteren Server 2019 (mit GUI) zum DC gemacht 2.) Sämtliche FSMO Rollen auf den den 3. DC verschoben - Eine Wichtige tätigkeit hat mich dann davon abgehalten, gestern noch weiter daran zu arbeiten 3.) Morgens angemedet, Trust funktioniert Ich versuche heute noch herauszufinden was sich da im AD getan hat und berichte hier. LG r4 1 Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 3. September 2020 Melden Teilen Geschrieben 3. September 2020 Moin, Danke für die Rückmeldung. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.