Ereignis 3036, Vertrauensstellung

[Christian Meier]

Crossposting: erscheint auch in dem Technet-Web-Forum.

Hallo,
 
es geht um zwei DCs:
 
- server02.gs-lan.local und
- server03.test-gs-lan.local
 
gs-lan.local hat einen "incoming trust" zu test-gs-lan.local und
test-gs-lan.local hat einen "outgoing trust" zu gs-lan.local.
"Domain-wide authentification" ist ausgewählt.
 
Problem: ich kann von einem Client in der gs-lan.local Domäne nicht auf
eine Freigabe in test-gs-lan.local zugreifen. Sobald ich server03 in
der
Netzwerkumgebung anklicke erscheint, "Der angegebene Netzwerkname ist
nicht mehr verfügbar". Über die IP kommt: "\\192.168.1.13 wurde nicht
gefunden". Im Eventlog steht MRxSmb, Ereignis 3036,
 
    Der Redirectordienst hat festgestellt, dass eine Sicherheits-
    signatur nicht übereinstimmt. Die Verbindung wurde getrennt.
 
Google meinte, der Client wolle sich als MasterBrowser ausgeben. Den
entsprechenden Registry-Eintrag um das zu verhindern habe ich gesetzt,
brachte aber nix. Netzwerkkarte habe ich zwischenzeitlich auch
getauscht. Ping funktioniert sowohl mit der neuen, als auch mit der
alten Karte. Der Fehler tritt nicht wie in Google-Treffern beschrieben
beim Übertragen großer Dateien auf, sondern bereits die
Verzeichnisauflistung ist nicht möglich.
 
Ping funktioniert aber. Zugriff auf die DC-Freigaben von einem Client
in
der test-gs-lan.local Domäne geht auch. Zugriff von
server02.gs-lan.local geht sogar auch, aber eben nicht über einen Client
aus gs-lan.local.
 
Auf server02.gs-lan.local habe ich test-gs-lan.local als "Stub zone"
eingerichtet.
 
ping server02 liefert auf dem Client wo's nicht geht
    Ping server02.gs-lan.local [192.168.1.10]
und ping server03
    Ping server03 [192.168.1.13]
also nicht den FQDN.

Wo liegt der Fehler?
 
Viele Grüße
 
Christian

--
__o o__ o__ o__
_ \<,_ _.>/ _ _.>/ _ _.>/ _
(_)/ (_) (_) \(_) (_) \(_) (_) \(_)

[Christian Meier]

Christian Meier <chris...@arcor.de> wrote:
> es geht um zwei DCs:
>  
> - server02.gs-lan.local und
> - server03.test-gs-lan.local

jeweils Windows 2008. Der genannte Client allerdings Windows 2000.

[Christian Meier]

Christian Meier <chris...@arcor.de> wrote:
> Crossposting: erscheint auch in dem Technet-Web-Forum.

> gs-lan.local hat einen "incoming trust" zu test-gs-lan.local und
> test-gs-lan.local hat einen "outgoing trust" zu gs-lan.local.
> "Domain-wide authentification" ist ausgewählt. Problem: ich kann von
> einem Client in der gs-lan.local Domäne nicht auf eine Freigabe in
> test-gs-lan.local zugreifen.

Gibt es nicht irgendwelche Tipps?
 
SMB Signing habe ich wie in [1] beschrieben eingerichtet.
 
Mit XP konnte ich es bisher noch nicht testen. Verhält sich Windows 2000
möglicherweise anders als XP?
 
Was mich wundert, dass es von dem anderen DC aus geht, nur an einem
Client der zu diesem anderen DC gehört geht's nicht ...
 
 
[1] http://www.gruppenrichtlinien.de/index.html?/Howto/smb_signing.htm

[Christian Meier]

Christian wrote:
> Problem: ich kann von einem Client in der gs-lan.local Domäne nicht
> auf eine Freigabe in test-gs-lan.local zugreifen. Sobald ich server03
> in der Netzwerkumgebung anklicke erscheint, "Der angegebene
> Netzwerkname ist nicht mehr verfügbar".
 

Ergänzung: inzwischen bin ich bei "Es stehen momentan keine
Anmeldeserver zur Verfügung" angekommen. Ping und Nslookup funktionieren
nach wie vor. Habe die jeweils andere Domäne jetzt nicht mehr als Stub,
sondern als Conditional Forwarder konfiguriert... Befürchte es ist
trotzdem noch irgendwie ein DNS-Problem.
 
Wenn jemandem noch etwas dazu einfällt, gerne...

[Christian Meier]

Christian Meier <chris...@arcor.de> wrote:
>
> Crossposting: erscheint auch in dem Technet-Web-Forum.

Die Lösung war einfach: es waren keine Service Packs installiert. Warum
die notwendig sind, weiß ich allerdings nicht.