Labile Vertrauensstellung

20/11/2007 - 10:13 von C. Lanzi | Report spam
Hallo allerseits!

Wir haben von kurzem eine Vetrauensstellung mit einer Schwesterfirma via
VPN eingerichtet. Diese funktioniert allerdings nur sporadisch und da
ich in dieser Sache noch nicht sonderlich firm bin weiß ich da
mittlerweile auch nicht mehr weiter. Das VPN funktioniert zuverlàssig
und hat irgendwo zwischen 3 und 4 eine 24h-Trennung.

Wir haben die beiden Domànen norden.de und sueden.de, beide mit zwei
Domànencontrollern dc1 und dc2.

norden.de befindet sich noch in einer Vertrauensstellung mit einer
NT4-Domàne, diese funktioniert allerdings absolut einwandfrei.

Beim Versuch, auf \\main.sueden.de zuzugereifen kommt ein Fehler welcher
besagt, dass die Vertrauensstellung zwischen der primàren Domàne und der
vertrauenswürdigen Domàne nicht hergestellt werden konnte.

Hier schonmal einige Befehle (ggf. mit Ausgabe), die von Interesse sein
könnten...

dc1.norden.de> nltest /query - funktioniert
dc2.norden.de> nltest /query - funktioniert

dc1.norden.de> nltest /dsquerydns - funktioniert
dc2.norden.de> nltest /dsquerydns - funktioniert



dc1.norden.de> nltest /query /server:dc1.sueden.de - funktioniert
dc2.norden.de> nltest /query /server:dc1.sueden.de - funktioniert


dc1.norden.de> nltest /query /server:dc2.sueden.de
I_NetLogonControl failed: Status = 5 0x5 ERROR_ACCESS_DENIED

dc2.norden.de> nltest /query /server:dc2.sueden.de
I_NetLogonControl failed: Status = 5 0x5 ERROR_ACCESS_DENIED



dc1.norden.de> nltest /sc_verify:sueden.de
Flags: b0 HAS_IP HAS_TIMESERV
Trusted DC Name \\dc2.sueden.de
Trusted DC Connection Status Status = 0 0x0 NERR_Success
Trust Verification Status = 0 0x0 NERR_Success
The command completed successfully

dc2.norden.de> nltest /sc_verify:sueden.de
Flags: 80
Trusted DC Name
Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED
Trust Verification Status = 5 0x5 ERROR_ACCESS_DENIED
The command completed successfully



dc1.norden.dc> nltest /dclist:sueden.de
Get list of DCs in domain 'sueden.de' from '\\dc2.sueden.de'.
You don't have access to DsBind to sueden.de (\\dc2.sueden.de) (Trying
NetServerEnum).
I_NetGetDCList failed: Status = 6118 0x17e6 ERROR_NO_BROWSER_SERVERS_FOUND

dc2.norden.de> nltest /dclist:sueden.de
Get list of DCs in domain 'sueden.de' from '\\DC1.sueden.de'.
DC1.sueden.de [PDC] [DS] Site: Standardname-des-ersten-Standorts
dc2.sueden.de [DS] Site: Standardname-des-ersten-Standorts
The command completed successfully



Falls gewünscht kann ich auch gerne Befehle auf dc1/dc2.sueden.de
ausführen, mit Remotedesktop komme ich ja drauf.

Bis vor drei Wochen hatte ich noch den Netlogon-Fehler 5774:
"Die dynamische Registrierung des DNS-Eintrags 'gc._msdcs.norden.de. 600
IN A 192.168.100.252' ist auf folgendem DNS-Server fehlgeschlagen:

DNS-Server IP-Adresse: 192.168.100.254 [Linux-DNS mit bind-9.1.4]
Verbindungsantwortcode (RCODE): 5
Zurückgegebener Statuscode: 9017"

Hier auch mal noch ein Auszug aus der named.conf:

zone "norden.de" IN {
type master;
file "pri/norden.de.zone";
check-names ignore;
allow-update { 192.168.100.0/24; 127.0.0.1; }; };

zone "sueden.de" {
type forward;
forwarders {
172.16.1.82; }; };

zone "." IN {
type hint;
file "named.ca"; };

zone "localhost" IN {
type master;
file "pri/localhost.zone";
allow-update { none; };
notify no; };

zone "127.in-addr.arpa" IN {
type master;
file "pri/127.zone";
allow-update { none; };
notify no; };

zone "100.168.192.in-addr.arpa" {
type master;
file "pri/192.168.100.zone";
check-names ignore;
allow-update { 192.168.100.0/24; 127.0.0.1; }; };

zone "16.172.in-addr.arpa" {
type forward;
forwarders { 172.16.1.82; }; };

Wenn ich die Vertrauensstellung von dc1.norden.de beidseitig aus neu
einrichte, gibt's folgenden Fehler:

"Die Überprüfung der eingehenden Vertrauensstellung ist mit folgendem
Fehler bzw. folgenden Fehlern fehlgeschlagen:
Die Überprüfung des Vertrauensstellungskennworts ist mit folgendem
Fehler fehlgeschlagen: 1787: Die Sicherheitsdatenbank auf dem Server
enthàlt kein Computerkonto für diese Arbeitsstationsvertrauensstellung.
Es wird versucht, den sicheren Kanal zurückzusetzen.
Das Zurücksetzen des sicheren Kanals ist mit folgendem Fehler
fehlgeschlagen: 1787: Die Sicherheitsdatenbank auf dem Server enthàlt
kein Computerkonto für diese Arbeitsstationsvertrauensstellung.

Die ausgehende Vertrauensstellung wurde verifiziert. Sie befindet sich
am richtigen Ort und ist aktiv."

Ich vermute, es hakt irgendwo zwischen Anmeldedienst, DNS und
SC-Kennwort, aber letztlich stochere ich mangels Erfahrung nur im
dunkeln. Würde mich daher sehr freuen über jede Idee!

Liefere wie gesagt gerne noch alles gewünschte nach

Vielen Dank schonmal

Claudio Lanzi
 

Lesen sie die antworten

#1 C. Lanzi
20/11/2007 - 10:21 | Warnen spam
Ach ja, auf allen vier DCs làuft 2003

C. Lanzi schrieb:
Hallo allerseits!

Wir haben von kurzem eine Vetrauensstellung mit einer Schwesterfirma via
VPN eingerichtet. Diese funktioniert allerdings nur sporadisch und da
ich in dieser Sache noch nicht sonderlich firm bin weiß ich da
mittlerweile auch nicht mehr weiter. Das VPN funktioniert zuverlàssig
und hat irgendwo zwischen 3 und 4 eine 24h-Trennung.

Wir haben die beiden Domànen norden.de und sueden.de, beide mit zwei
Domànencontrollern dc1 und dc2.

norden.de befindet sich noch in einer Vertrauensstellung mit einer
NT4-Domàne, diese funktioniert allerdings absolut einwandfrei.

Beim Versuch, auf \\main.sueden.de zuzugereifen kommt ein Fehler welcher
besagt, dass die Vertrauensstellung zwischen der primàren Domàne und der
vertrauenswürdigen Domàne nicht hergestellt werden konnte.

Hier schonmal einige Befehle (ggf. mit Ausgabe), die von Interesse sein
könnten...

dc1.norden.de> nltest /query - funktioniert
dc2.norden.de> nltest /query - funktioniert

dc1.norden.de> nltest /dsquerydns - funktioniert
dc2.norden.de> nltest /dsquerydns - funktioniert



dc1.norden.de> nltest /query /server:dc1.sueden.de - funktioniert
dc2.norden.de> nltest /query /server:dc1.sueden.de - funktioniert


dc1.norden.de> nltest /query /server:dc2.sueden.de
I_NetLogonControl failed: Status = 5 0x5 ERROR_ACCESS_DENIED

dc2.norden.de> nltest /query /server:dc2.sueden.de
I_NetLogonControl failed: Status = 5 0x5 ERROR_ACCESS_DENIED



dc1.norden.de> nltest /sc_verify:sueden.de
Flags: b0 HAS_IP HAS_TIMESERV
Trusted DC Name \\dc2.sueden.de
Trusted DC Connection Status Status = 0 0x0 NERR_Success
Trust Verification Status = 0 0x0 NERR_Success
The command completed successfully

dc2.norden.de> nltest /sc_verify:sueden.de
Flags: 80
Trusted DC Name
Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED
Trust Verification Status = 5 0x5 ERROR_ACCESS_DENIED
The command completed successfully



dc1.norden.dc> nltest /dclist:sueden.de
Get list of DCs in domain 'sueden.de' from '\\dc2.sueden.de'.
You don't have access to DsBind to sueden.de (\\dc2.sueden.de) (Trying
NetServerEnum).
I_NetGetDCList failed: Status = 6118 0x17e6 ERROR_NO_BROWSER_SERVERS_FOUND

dc2.norden.de> nltest /dclist:sueden.de
Get list of DCs in domain 'sueden.de' from '\\DC1.sueden.de'.
DC1.sueden.de [PDC] [DS] Site: Standardname-des-ersten-Standorts
dc2.sueden.de [DS] Site: Standardname-des-ersten-Standorts
The command completed successfully



Falls gewünscht kann ich auch gerne Befehle auf dc1/dc2.sueden.de
ausführen, mit Remotedesktop komme ich ja drauf.

Bis vor drei Wochen hatte ich noch den Netlogon-Fehler 5774:
"Die dynamische Registrierung des DNS-Eintrags 'gc._msdcs.norden.de. 600
IN A 192.168.100.252' ist auf folgendem DNS-Server fehlgeschlagen:

DNS-Server IP-Adresse: 192.168.100.254 [Linux-DNS mit bind-9.1.4]
Verbindungsantwortcode (RCODE): 5
Zurückgegebener Statuscode: 9017"

Hier auch mal noch ein Auszug aus der named.conf:

zone "norden.de" IN {
type master;
file "pri/norden.de.zone";
check-names ignore;
allow-update { 192.168.100.0/24; 127.0.0.1; }; };

zone "sueden.de" {
type forward;
forwarders {
172.16.1.82; }; };

zone "." IN {
type hint;
file "named.ca"; };

zone "localhost" IN {
type master;
file "pri/localhost.zone";
allow-update { none; };
notify no; };

zone "127.in-addr.arpa" IN {
type master;
file "pri/127.zone";
allow-update { none; };
notify no; };

zone "100.168.192.in-addr.arpa" {
type master;
file "pri/192.168.100.zone";
check-names ignore;
allow-update { 192.168.100.0/24; 127.0.0.1; }; };

zone "16.172.in-addr.arpa" {
type forward;
forwarders { 172.16.1.82; }; };

Wenn ich die Vertrauensstellung von dc1.norden.de beidseitig aus neu
einrichte, gibt's folgenden Fehler:

"Die Überprüfung der eingehenden Vertrauensstellung ist mit folgendem
Fehler bzw. folgenden Fehlern fehlgeschlagen:
Die Überprüfung des Vertrauensstellungskennworts ist mit folgendem
Fehler fehlgeschlagen: 1787: Die Sicherheitsdatenbank auf dem Server
enthàlt kein Computerkonto für diese Arbeitsstationsvertrauensstellung.
Es wird versucht, den sicheren Kanal zurückzusetzen.
Das Zurücksetzen des sicheren Kanals ist mit folgendem Fehler
fehlgeschlagen: 1787: Die Sicherheitsdatenbank auf dem Server enthàlt
kein Computerkonto für diese Arbeitsstationsvertrauensstellung.

Die ausgehende Vertrauensstellung wurde verifiziert. Sie befindet sich
am richtigen Ort und ist aktiv."

Ich vermute, es hakt irgendwo zwischen Anmeldedienst, DNS und
SC-Kennwort, aber letztlich stochere ich mangels Erfahrung nur im
dunkeln. Würde mich daher sehr freuen über jede Idee!

Liefere wie gesagt gerne noch alles gewünschte nach

Vielen Dank schonmal

Claudio Lanzi

Ähnliche fragen