Windows Server 2008 R2 Vertrauensstellung - Anmeldeserver

[Kleenex]

Hallo

Ich habe mehrere Windows Server 2008 R2 aufgesetzt und möchte nun eine Vertrauensstellung einrichten.
Zunächst habe ich unter DNS für die Domäne des anderen Servers eine Stubzone eingerichtet.
Zonenübertragung ist zugelassen, pingen über FQDN und IP funktioniert.

Vertrauensstellung, neue Vertrauenstellung eingerichtet, funktioniert auch soweit, wird alles eingetragen und auch auf dem Ziel Server steht es drin.
Jedoch beim "Fertig stellen", kommt die Meldung:

Der Vorgang kann nicht fortgesetzt werden.
Die von der angegebenen Domäne in anspruch genommenen Namen konnten nicht gelesen werden.
Fehler beim Vorgang: Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar.

Wenn ich mich jetzt auf meiner Maschine mit einem Benutzerkonto von dem Ursprungsserver anmelden will, bekomme ich die Meldung:
Wegen einer Kontenbeschränkung dürfen Sie sich nicht anmelden.

Passwort wird richtig erkannt, da bei falschen folgende Meldung erscheint:
Sie konnten nicht angemeldet werden. Überprüfen Sie Benutzernamen und Domäne, und geben Sie das Kennwort erneut ein.

Finde leider den Fehler nicht.
Hoffe hier kann mir jemand weiter helfen
Danke schonmal

LG Alexander

 

[::1]

schmeiß die stubzone mal raus und probiere es mit einer bedingten weiterleitung

 

[Frightener]

Was verstehst Du unter 'Vertrauensstellung'? Sind das zwei unterschiedliche Forests? Innerhalb eines Forest bestehen automatisch bidirektionale transitive Vertrauensstellungen zwischen den Domänen des Forests.

 

[Simon]

Sind das physikalische, oder virtuelle Maschinen, auf denen die DCs laufen?

 

[Kleenex]

Guten Morgen

Es sind virtuelle Maschinen in VMware und jeder Server hat einen eigenen Forest.

LG

Nachtrag:
Stubzone einrichten ging, habe dann unter Forward-Lookupzonen die Domäne stehen gehabt mit 3 Einträgen: Autoritätsursprung (SOA), Namenserver (NS) und Host (A). Auflösung hat funktioniert.

Bei Bedingte Weiterleitung kommt ein Fehler:
Der Server mit dieser IP ist für die erforderliche Zone nicht autorisierend.

 

[::1]

hast du stubzone mal durch eine bedingte weiterleitung ersetzt? existieren die _msdcs einträge auf den jeweiligen dns-servern? funktioniert nslookup vernünftig?

gib mal ein paar mehr infos

 

[Kleenex]

_msdcs existieren auf allen, Weiterleitung siehe Beitrag von heute morgen.

nslookup bringt folgendes:

10.0.0.115
Server: Unknown
Address: ::1

Name: dc.test.local
Address: 10.0.0.115

 

[Simon]

Hast du die VMs für die Erstellung eventuell geklont? Wenn ja, müssen alle VMs eine neue SID bekommen.

Bei DCs ist das nach wie vor kritisch.

 

[Frightener]

_msdcs existieren auf allen, Weiterleitung siehe Beitrag von heute morgen.

nslookup bringt folgendes:

10.0.0.115
Server: Unknown
Address: ::1

Name: dc.test.local
Address: 10.0.0.115

Die SRV Records der jeweils anderen Domain müssen aufgelöst werden könne, z.B. LDAP.

nslookup
set type=all
_ldap._tcp.dc._msdcs.%DOMAINNAME%

 

[::1]

und schalt zum testen mal ipv6 aus

 

[Kleenex]

Guten Morgen,

Es lag letztendlich wohl an DNS-Suffix unter den IPv4 Einstellungen - Erweitert - Reiter DNS, wobei es nun damit auch noch nicht bei allen funktioniert.

Habe auch 2 Systeme die sich selbst wenn ich alle DNS-Suffixe und Zonen entferne noch als Vertrauensstellung einrichten lassen :S

LG