none
Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauenstellung RRS feed

  • Frage

  • Hallo zusammen,

    ich habe hier mal wieder einen ganz besonderen Leckerbissen und brauche dringend Eure Hilfe hierzu.

    Folgendes Szenario:

    - SBS 2011 als 1.DC mit Hyper-V Maschine (Server 2012-VM alt)

    - Server 2012 als 2.DC mit Hyper-V Maschine (Server 2012-VM neu)

    Gestern wurde die Server 2012-VM vom Hyper-V des SBS 2011 exportiert und in den Hyper-V des Server 2012 importiert.
    Die Server 2012-VM war bislang nur als Stand-allone Applikationsserver und nicht als DC der Domäne konfiguriert.

    Nach dem Starten der Server 2012-VM fiel dann aber auf, dass der Servername des Server 2012 gleich dem Servernamen der Server 2012-VM ist. Ist vorher wohl nicht aufgefallen, da das System wohl nicht meckerte, dass 2 Rechner denselben Namen haben.
    Nun gut, ändert man halt den Servernamen. Danach fing das Spielchen aber an.
    Nun war keine Anmeldung am Server 2012 (2.DC) mehr möglich mit oben genannten Fehler "Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauenstellung"

    Nach Überprüfung des SBS 2011 (1.DC) fiel dann auf, dass auf dem SBS 2011 (1.DC) automatisch der Name des Server 2012 (2.DC) in den Namen der Server 2012-VM geändert war.
    Offensichtlich ist der SBS jetzt der Meinung sein 2.DC wäre die virtuelle 2012 Maschine!
    Habe ich so auch noch nicht erlebt, aber man lernt ja nicht aus.

    Ich hoffe, Ihr könnt mir soweit folgen.
    Fakt ist, dass keine Anmeldung mehr am Server 2012 mit oben genannter Meldung möglich ist!
    Wie löse ich das Problem am schnellsten?

    Danke und Gruß
    Oli  

    Donnerstag, 22. Mai 2014 14:06

Antworten

  • Hallo Ihr Beiden,

    @Winfried:
    Hast Recht, für den Hyper-V sollte man wirklich besser eine dezidierte Maschine nehmen.
    Obwohl diese Konfig so schon seit Jahren stabil lief, merkt man jetzt wie anfällig der DC ist durch einen eigentlich kleinen Fehler.
    Bin ja auch schon etwas länger dabei, aber so eine Scheisse braucht echt kein Mensch und passiert mir glatt zum ersten Mal.
    Für mich lässt sich der 2012er am schnellsten neu aufsetzen.
    Die virtuellen Maschinen sind alle gesichert, der 2012er selbst fungiert lediglich als Fileserver und DC.

    Vorher teste ich noch den Tip von Mark mit DSRM und wenn das nicht hilft, noch Deinen Tip mit dem Password Stick.
    Die Software kenne ich noch aus NT Zeiten, witzig dass die offenbar immer noch funktioniert...:-)

    Nochmal Danke für Eure Hilfe!

    Gruß
    Oli

    • Als Antwort markiert Sass System Donnerstag, 22. Mai 2014 19:41
    Donnerstag, 22. Mai 2014 19:40

Alle Antworten

  • > - SBS 2011 als 1.DC mit Hyper-V Maschine (Server 2012-VM alt)
    > - Server 2012 als 2.DC mit Hyper-V Maschine (Server 2012-VM neu)
     
    Ich kabpier das Szenario schon mal nicht. Aber egal... Was ist Blech,
    was ist virtuell?
     
    > Nun gut, ändert man halt den Servernamen. Danach fing das Spielchen aber an.
     
    Den Namen eines DC zu ändern war noch nie eine gute Idee... Wie habt Ihr
    das gemacht?
     
    > Nun war keine Anmeldung am Server 2012 (2.DC) mehr möglich mit oben
    > genannten Fehler "Die Sicherheitsdatenbank auf dem Server enthält kein
    > Computerkonto für diese Arbeitsstationsvertrauenstellung"
     
    Secure Channel Kennwort kaputt - klar, der AD-Account gehört nicht zum
    Computer... Unjoin/Join behebt das normalerweise.
     
    > Nach Überprüfung des SBS 2011 (1.DC) fiel dann auf, dass auf dem SBS
    > 2011 (1.DC) automatisch der Name des Server 2012 (2.DC) in den Namen der
    > Server 2012-VM geändert war.
     
    Wie wärs, wenn Du alle Servernamen und Blech/VM mal deutlich machen würdest?
     
    > Offensichtlich ist der SBS jetzt der Meinung sein 2.DC wäre die
    > virtuelle 2012 Maschine!
     
    Das mag mit der Umbenennerei zu tun haben.
     
    > Ich hoffe, Ihr könnt mir soweit folgen.
     
    Mäßig, wie Du meinen Fragen ja entnehmen kannst.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Donnerstag, 22. Mai 2014 14:55
  • Hallo Martin,

    Danke für Dein rasches Feedback!

    > Ich kabpier das Szenario schon mal nicht. Aber egal... Was ist Blech, was ist virtuell?

    Hab ich mir grad auch schon gedacht, ob meine geistigen Ergüsse überhaupt einer kapiert?...:-)
    Gerne kläre ich Dich auf...

    Blech: SBS 2011 (1.DC) und der Server 2012 (2.DC), auf beiden läuft der Hyper-V
    Virtuell: Ein Server 2012 auf dem Hyper-V des Server 2012 (2.DC)

    Momentan sind aber alle viruellen Maschinen heruntergefahren. 

    > Den Namen eines DC zu ändern war noch nie eine gute Idee... Wie habt Ihr das gemacht?

    Die virtuelle Maschine Server 2012 ist kein DC, sondern nur Mitglied einer Arbeitsgruppe.
    Zumindest war er das, bis es zu den Problemen kam. Von daher ging die Namensänderung.

    > Secure Channel Kennwort kaputt - klar, der AD-Account gehört nicht zum Computer... Unjoin/Join behebt das normalerweise

    Würde ich gerne tun, nur lässt mich der Server 2012 (Blech) nicht mehr rein!
    Die Domänenanmeldung Domäne\Benutzer quittiert er mit "Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauenstellung"
    Die lokale Anmeldung ist ja leider nicht möglich, da DC. Oder siehst Du hier eine Möglichkeit?

    > Wie wärs, wenn Du alle Servernamen und Blech/VM mal deutlich machen würdest?

    siehe oben!

    > Das mag mit der Umbenennerei zu tun haben.

    Mit Sicherheit hängt das zusammen!

    > Mäßig, wie Du meinen Fragen ja entnehmen kannst.

    Sorry, ich hoffe es wird jetzt klarer.
    Im Grunde habe ich eigentlich nur das Problem des nicht funktionierenden Logins beim 2012er. Wenn ich in die Maschine reinkäme, wäre alles gut.
    Die Domänen-Authentifizierung gegen den SBS schlägt aber verständlicherweise fehl.
    Ich überlege, wie ich mich lokal beim 2012 anmelden könnte.
    Gab es da nicht den Trick mit der Gruppe der Konten Operatoren, um sich trotzdem an einem DC lokal anmelden zu können?
    Ich habe es noch nicht gestestet, glaube aber auch das die Änderungen, die ich jetzt noch beim AD des SBS vornehme, nicht mehr korrekt auf den 2012er synchronisiert werden?
    Was meinst Du bzw. wie würdest Du das Problem lösen?

    Danke!
    Oli

    Donnerstag, 22. Mai 2014 15:44
  • Am 22.05.2014 schrieb Sass System:

    Blech: SBS 2011 (1.DC) und der Server 2012 (2.DC), auf beiden läuft der Hyper-V
    Virtuell: Ein Server 2012 auf dem Hyper-V des Server 2012 (2.DC)

    Ganz schlechte Idee. Ein Hyper-V ist ein Hyper-V ist ein Hyper-V. Und
    auf keinen Fall sollte man auf einem DC einen Hyper-V installieren.
    wie wichtig sind die Maschinen? Welchen kannst Du schnell neu
    installieren?

    Die virtuelle Maschine Server 2012 ist kein DC, sondern nur Mitglied einer Arbeitsgruppe.

    Mitglied in der Domain oder in einer Arbeitsgruppe?

    Secure Channel Kennwort kaputt - klar, der AD-Account gehört nicht zum Computer... Unjoin/Join behebt das normalerweise

    Würde ich gerne tun, nur lässt mich der Server 2012 (Blech) nicht mehr rein!
    Die Domänenanmeldung Domäne\Benutzer quittiert er mit "Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauenstellung"
    Die lokale Anmeldung ist ja leider nicht möglich, da DC. Oder siehst Du hier eine Möglichkeit?

    Wenn Du den 2.DC Offline nimmst, könnte es damit funktionieren:
    http://pogostick.net/~pnh/ntpasswd/ Wie sich das dann verhält wenn Du
    ihn wieder ans LAN ansteckst, weiß ich nicht. Wenn möglich eine
    Neuinstallation ins Auge fassen. Und auf dem SBS aus dem AD löschen,
    notfalls mit Gewalt.


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Donnerstag, 22. Mai 2014 16:29
  • Am 22.05.2014 17:44, schrieb Sass System:

    Die lokale Anmeldung ist ja leider nicht möglich, da DC. Oder siehst Du hier eine Möglichkeit?

    Nur im Abgesicherten Modus - DSRM - Directory Service Recovery Mode

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Donnerstag, 22. Mai 2014 16:34
  • Hallo Ihr Beiden,

    @Winfried:
    Hast Recht, für den Hyper-V sollte man wirklich besser eine dezidierte Maschine nehmen.
    Obwohl diese Konfig so schon seit Jahren stabil lief, merkt man jetzt wie anfällig der DC ist durch einen eigentlich kleinen Fehler.
    Bin ja auch schon etwas länger dabei, aber so eine Scheisse braucht echt kein Mensch und passiert mir glatt zum ersten Mal.
    Für mich lässt sich der 2012er am schnellsten neu aufsetzen.
    Die virtuellen Maschinen sind alle gesichert, der 2012er selbst fungiert lediglich als Fileserver und DC.

    Vorher teste ich noch den Tip von Mark mit DSRM und wenn das nicht hilft, noch Deinen Tip mit dem Password Stick.
    Die Software kenne ich noch aus NT Zeiten, witzig dass die offenbar immer noch funktioniert...:-)

    Nochmal Danke für Eure Hilfe!

    Gruß
    Oli

    • Als Antwort markiert Sass System Donnerstag, 22. Mai 2014 19:41
    Donnerstag, 22. Mai 2014 19:40
  • Am 22.05.2014 schrieb Sass System:

    Nochmal Danke für Eure Hilfe!

    Sag bitte Bescheid was geholfen hat, Danke.


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Donnerstag, 22. Mai 2014 20:12