Benutzer mit den meisten Antworten
Externe Vertrauensstellung einseitig nicht voll funktionsfähig

Frage
-
Hallo,
ich habe ein Problem mit einer externen Vertrauensstellung die mich langsam zum verzweifeln bringt. Und zwar kann ich das Problem nicht anders beschreiben als das die Vertrauensstellung nach einer gewissen Zeit nicht mehr "synchron" ist. Es äußert sich damit das ich, nach einen Problemlosen betrieb von teilweise lediglich 1-2 Stunden oder auch mehreren Tagen, von Dom2 nicht mehr auf Dom1 zugreifen kann. So erhalte ich z.B. folgende Fehlermeldung wenn ich von Dom2 auf einen NetShare von Dom1 zugreifen möchte:
DEU: Die Vertrauensstellung zwischen der primären und der vertrauenswürdigen Domäne konnte nicht hergestellt werden.
ENU: The trust relationship between the primary and the trusted domain failed.Ich habe bereits die Vertrauensstellung mehrere male entfernt und wieder neu eingerichtet. Leider immer ohne erfolg. Zwischen dem Löschvorgang und der wiedereinrichtung habe ich zudem in der Regel ca. 7 Tage verstreichen lassen so das ein Replikationsproblem ausgeschlossen werden kann(?). Zusätzlich habe ich kontrolliert das, bei einer Neueinrichtung, die jeweile Domain als trustedDomain nicht unter CN=System vorhanden ist.
Sollte ich zudem die Vertrauensstellung per Passwort einrichten, erhalte ich bei der Valdidierung die Fehlermeldung das der Zugriff von Dom2 auf Dom1 aufgrund einer Access Denied Meldung nicht möglich ist.
Erstelle ich den Domain Trust in der Einrichtung über die Eingabe der dortigen Credentials funktioniert die Validierung einwandfrei. Die Validierung funktioniert auch weiterhin problemlos, solange ich Sie natürlich über die Credentials Funktion eingerichtet habe, wenn die Domäne wieder "Out-of-Sync" ist und z.B. kein Dateizugriff möglich ist.
Zu beachten ist das die Probleme lediglich bei dem Zugriff von Dom2 auf Dom1 auftreten. Der Zugriff von Dom1 auf Dom2 funktioniert durchgehend ohne Probleme.
Beide Domänen sind auf dem Funktionslevel 2008 R2 und die Domänencontroller sind auch mit 2008 R2 installiert. Dom1 verfügt lediglich über einen Standort, während Dom2 über drei Standorte verfügt. Die Zeiten beider Domänen sind bis auf die Sekunde synchron.
"dcdiag /c" liefert auf beiden Domänen keine Fehler. Weiterhin erhalte ich auch über das normale EventLog keine Fehlermeldungen die ein Problem erkennen lassen.
Weiterhin sind die FSMO Rollen entsprechend verteilt und schneiden sich nicht mit der Funktion eines GC.
Ich hoffe irgendjemand hat eine Idee wo hier mein Problem liegen könnte.
Würde ein kostenpflichtiges Ticket bei MS mir hier helfen? Oder würde lediglich überprüft werden ob ein Bug vorliegt und bei einem Konfigurationsproblem keine Aktion/Hilfe unternommen werden?
MfG
MW
- Typ geändert Raul TalmaciuMicrosoft contingent staff Mittwoch, 30. Oktober 2013 14:42 Warten auf Feedback
- Typ geändert Raul TalmaciuMicrosoft contingent staff Mittwoch, 30. Oktober 2013 16:02
Antworten
-
Erstelle bitte mehrere Network-Traces gleichzeitig von allen beteiligten DCs beider Domänen während Du das Problem nachstellst und analysiere, wann es wo genau zu welcher Fehlermeldung genau kommt.
Hinweis: Sind die Namen von DCs aus beiden Domänen ggf. identisch?
--
Tobias RedelbergerStarNET Services (HomeOffice)Frankfurter Allee 193D-10365 BerlinTel: +49 (30) 86 87 02 678Mobil: +49 (163) 84 74 421- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Mittwoch, 30. Oktober 2013 16:03
-
Identische DC-Namen (auch mit unterschiedlichen FQDN) sind eine Ursache für das beobachte Verhalten.
Wenn möglich DCs mit anderen Namen erstellen.
Ansonsten bitte Network-Traces mit Microsoft Network Monitor, netsh oder Wireshark generieren.
--
Tobias RedelbergerStarNET Services (HomeOffice)Frankfurter Allee 193D-10365 BerlinTel: +49 (30) 86 87 02 678Mobil: +49 (163) 84 74 421- Bearbeitet Tobias Redelberger Samstag, 19. Oktober 2013 09:43 typo
- Als Antwort vorgeschlagen Tobias Redelberger Donnerstag, 31. Oktober 2013 11:38
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Donnerstag, 31. Oktober 2013 14:58
-
Hallo,
ich hatte das Problem mit dem Microsoft Support geklärt. Es lag definitiv an den gleichen DC Namen. Diese wurden von mir jetzt angepasst und es scheint nun einwandfrei zu funktionieren.
Mit freundlichen Grüßen
Marcel Wiechmann
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Mittwoch, 30. Oktober 2013 16:03
Alle Antworten
-
Ich möchte kurz hinzufügen das ich eine kleine nicht begründbare Vermutung habe. Die Fehlermeldungen innerhalb der Validierung seitens dom2 beschreiben immer das die Validierung nicht erfolgreich war, da dc01.dom1 eine Access Denied Meldung zurück gegeben hat. Kann unter Umständen ein einzelner Domain Controller für dieses Problem verantwortlich sein? Aktuell habe ich die Situation das ich von dom2 auf alle Systeme in dom1 zugreifen kann. Lediglich dc01.dom1 liefert wieder die oben beschriebene Fehlermeldung (Alle anderen DCs funktionieren einwandfrei).
Das Problem wäre aber auch hier das dc01 in keiner Weise eine Fehlermeldung liefert oder sonstige Probleme hat.
Zum Text oben möchte ich kurz hinzufügen das eine DNS Auflösung natürlich auch sichergestellt ist. Weiterhin verfügt dom1 über 4 DCs sowie dom2 über 2 DCs im Hauptstandort sowie jeweils einen in den außen Standorten. Die DNS Auflösung der jeweils anderen Domain ist über eine bedingte Weiterleitung geregelt.
-
Erstelle bitte mehrere Network-Traces gleichzeitig von allen beteiligten DCs beider Domänen während Du das Problem nachstellst und analysiere, wann es wo genau zu welcher Fehlermeldung genau kommt.
Hinweis: Sind die Namen von DCs aus beiden Domänen ggf. identisch?
--
Tobias RedelbergerStarNET Services (HomeOffice)Frankfurter Allee 193D-10365 BerlinTel: +49 (30) 86 87 02 678Mobil: +49 (163) 84 74 421- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Mittwoch, 30. Oktober 2013 16:03
-
Network Traces in Form von Dumps der Netzwerkkommunikation (Sprich mit WireShark etc?). Grundsätzlich ist die Kommunikation doch verschlüsselt? Oder ist sind Traceroutes gemeint?
Ja die Namen der DCs sind identisch. Nur der FQDN unterscheidet sich natürlich.
-
Identische DC-Namen (auch mit unterschiedlichen FQDN) sind eine Ursache für das beobachte Verhalten.
Wenn möglich DCs mit anderen Namen erstellen.
Ansonsten bitte Network-Traces mit Microsoft Network Monitor, netsh oder Wireshark generieren.
--
Tobias RedelbergerStarNET Services (HomeOffice)Frankfurter Allee 193D-10365 BerlinTel: +49 (30) 86 87 02 678Mobil: +49 (163) 84 74 421- Bearbeitet Tobias Redelberger Samstag, 19. Oktober 2013 09:43 typo
- Als Antwort vorgeschlagen Tobias Redelberger Donnerstag, 31. Oktober 2013 11:38
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Donnerstag, 31. Oktober 2013 14:58
-
Hallo,
bist Du hier weitergekommen?
Gruss,
RaulRaul Talmaciu, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können. -
Hallo,
ich hatte das Problem mit dem Microsoft Support geklärt. Es lag definitiv an den gleichen DC Namen. Diese wurden von mir jetzt angepasst und es scheint nun einwandfrei zu funktionieren.
Mit freundlichen Grüßen
Marcel Wiechmann
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Mittwoch, 30. Oktober 2013 16:03