Frage
Hallo zusammen,
ich habe hier mal wieder einen ganz besonderen Leckerbissen und brauche dringend Eure Hilfe hierzu. Folgendes Szenario:
- SBS 2011 als mit Hyper-V Maschine (Server 2012-VM alt)
- Server 2012 als mit Hyper-V Maschine (Server 2012-VM neu)
Gestern wurde die Server 2012-VM vom Hyper-V des SBS 2011 exportiert und in den Hyper-V des Server 2012 importiert. Die Server 2012-VM war bislang nur als Stand-allone Applikationsserver und nicht als DC der Domäne konfiguriert. Nach dem Starten der Server 2012-VM fiel dann aber auf, dass der Servername des Server 2012 gleich dem Servernamen der Server 2012-VM ist. Ist vorher wohl nicht aufgefallen, da das System wohl nicht meckerte, dass 2 Rechner denselben Namen haben. Nun gut, ändert man halt den Servernamen. Danach fing das Spielchen aber an. Die Sicherheitsdatenbank auf dem Server enthält - Administrator.de. Nun war keine Anmeldung am Server 2012 () mehr möglich mit oben genannten Fehler "Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauenstellung"
Nach Überprüfung des SBS 2011 () fiel dann auf, dass auf dem SBS 2011 () automatisch der Name des Server 2012 () in den Namen der Server 2012-VM geändert war.
Die Sicherheitsdatenbank Auf Dem Server EnthÄLt - Administrator.De
Ich habe einen Windows Server 2012-Domänencontroller in einer Domäne DOM1, die auf einer Domänen- und Funktionsebene von Windows Server 2008 R2 ausgeführt wird. Alle anderen Domänencontroller in DOM1 sind 2008 R2. DOM1 verfügt über eine bidirektionale, nicht transitive Vertrauensstellung mit einer anderen Domäne DOM2, die auf einer Windows Server 2003-Gesamtstruktur- und Funktionsebene ausgeführt wird. Auf DOM1 befindet sich ein Windows 7-Computer, der sich in demselben LAN befindet wie der Domänencontroller. Wenn ein Benutzer mit einem Konto in DOM2 versucht, sich an diesem Computer anzumelden, wird der Fehler angezeigt:
Die Sicherheitsdatenbank auf dem Server hat für diese Arbeitsstationsvertrauensstellung kein Computerkonto. Wenn ich den Domänencontroller 2012 ausschalte, wird der Fehler nicht angezeigt und der Benutzer kann sich anmelden. Wenn ich den DC wieder einschalte, wird der Fehler angezeigt. Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung. Gestern habe ich den DC eingeschaltet, den Windows 7-Rechner von DOM1 getrennt und ihn dann erneut verbunden.
...Sicherheitsdatenbank Der Domäne Enthält Kein Computerkonto Für Die Arbeitsstationsvertrauensstellung...
Das ganze tritt auf, zumindest glaube ich das als ich einen 2ten DC (2008 r2) neben den Primären DC (2003 R2) (der alle FSMO Rollen inne hat) in die Domäne integriert habe, der vorherige DC wurde sauber aus der Domäne raus migriert und gelöscht. Am Server schon alles mögliche probiert, DNS Einträge gecheckt, Replikationen überprüft, Eventslogs durchgeschaut allerdings komme ich nicht weiter, und ich weiß zum Teufel nicht warum. Vll kann mir hier einer helfen, ich wäre sehr dankbar für Antworten
sollten noch mehr Infos erwünscht sein einfach fragen
Vielen Dank im Vorraus.
Die Sicherheitsdatenbank Auf Dem Server Enthält Kein Computerkonto Für Diese Arbeitsstationsvertrauensstellung
Hi, ich habe einen neuen Smartcarduser ein Smartcardzertifikat auf seine Smartcard angelegt. Mittels der URL der Zertifizierungsstelle. Dies wurde auch erfolgreich durchgeführt. Wenn der Benutzer sich jetzt an seiner XP SP2-Workstation damit anmelden möchte, erscheint nach Eingabe der PIN die Fehlermeldung, dessen Inhalt ich im Betreff angegeben habe. Wenn ich mich mit der Smartcard (genauer: ein Aladdin USB Token) an meiner Windows 2000-Workstation anmelde, funktioniert dies jedoch prima. Die Registrierung habe ich auch an der XP-Workstation des Benutzers durchgeführt, weil ich irgendwo gelesen habe, daß die Betriebssysteme dies unterschiedlich handhaben. Was kann denn jetzt noch das Problem sein und was will mir diese Fehlermeldung sagen? Im voraus vielen Dank für Tipps... Michael
Ich habe selbst die Lösung für das Problem gefunden. Zum Einen muß eine intakte reverse Namensauflösung eingerichtet sein; wir hatten dies zwar, jedoch war der Aufräumtask nicht aktiviert, weshalb es ein paar alte Einträge zur Workstation gab.
Die Sicherheitsdatenbank Auf Dem Server Enthält Kein Computerkonto Für Diese Arbeitsstationsvertrauenstellung
Ist dies überhaupt der richtige Weg? Was mache ich falsch? Vielen Dank schon mal Hi Alfons, erster Schritt für erfolgreiche Vertrauensstellungen zwischen Domänen zweier Forests ist eine ordentliche Namensauflösung. Am besten per NetBIOS-Name, bei diesen expliziten Trusts haben wir noch etwas NT4-Altlasten;-). Ist auf den Servern in den TCP/IP Eigenschaften - Erweitert unter dem WINS-Reiter die NetBIOS-Option deaktiviert? Das wäre als erstes für NetBIOS-Namensauflösung zu erledigen. Mache dann in die LMHOSTS beider Domänencontroller entsprechende Einträge, wie hier beschrieben: Danach gehts ab ins Tool "Active Directory Domänen und Vertrauen... " Rechter Mausklick auf die Domäne - Eigenschaften - Vertrauensstellungen. Dort trägst Du nun an den passenden Stellen die Netbios-Namen der fremden Domäne ein. Das Passwort ist frei wählbar, es muß nur auf der Gegenseite ganz genauso eingegeben werden, damit der Trust aufge- baut werden kann. -- Viele Grüße Robert Pieroth
Der Benutzer konnte sich dann anmelden. Heute bekam der Benutzer jedoch erneut den Fehler. Ich habe den DC ausgeschaltet und der Benutzer hat sich angemeldet. Ich habe festgestellt, dass das Computerkonto nach der Wiederverbindung des Windows 7-Computers mit der Domäne in AD als deaktiviert angezeigt wird. Einige andere Computer am selben Ort erhalten ebenfalls den Fehler, die meisten jedoch nicht. Hier sind meine Fragen: Why does the error occur only when the 2012 DC is on? How is the user able to log into the Windows 7 machine even if the computer account is disabled? Why does the error occur only when the 2012 DC is on? Da der Computer eine Verbindung mit dem Windows 2012-Domänencontroller herstellt, der keine Aufzeichnung enthält. Dies verweist auf ein Active Directory-Synchronisierungsproblem zwischen diesem Domänencontroller und dem Rest Ihrer Domänencontroller. How is the user able to log into the Windows 7 machine even if the computer account is disabled? Möglicherweise zwischengespeicherte Anmeldeinformationen, mit denen der Benutzer die Domänenprüfung umgehen kann, oder möglicherweise ist das Konto nicht auf dem Domänencontroller deaktiviert, auf dem der Computer prüft.
Zum Anderen habe ich das Autoenrollment für Computerzertifikate per GPO aktiviert. Daraus ergibt sich jetzt zwar irgendwie, daß der Client sich nicht mehr ohne LAN-Verbindung ohne Smartcard anmelden kann, aber mit Smartcard funktionierts. Nein, ich habe nicht das Häkchen im Benutzeraccount gesetzt. ;-) Michael