Vertrauensstellung mit UCS kann nicht hergestellt werden

UCS 5.2

Wir haben Probleme bei der Vertrauensstellung zwischen Windows-Clients und unserem UCS. Dabei lassen Windows PCs, die in der UCS Domäne registriert sind, die Anmeldung von Benutzerkonten am UCS nicht mehr zu. Es wird dann angezeigt: “Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden”.

Bisher konnten wir das Problem temporär unterschiedlich lösen. Einige PCs mussten mehrfach neu gestartet werden und ließen sich dann anmelden. An anderen PCs konnte durch Entfernen aus der Domäne und erneutem Registrieren die Anmeldung wieder erfolgreich durchgeführt werden.

Im Netz finde ich Hinweise, dass die Fehlermeldung auf die klassische Ursache deutet, dass das Passwort des Computerkontos ungültig ist.

Die wahrscheinliche Ursache ist, dass wir vor einem Monat einen Ausfall des Virtualisierungshosts hatten, auf dem der UCS läuft. Dabei wurde die VM auf einen neuen V-Host transferiert. Da der UCS auch Fileserver mit sehr großen Datenpartitionen ist, habe ich den VM-Transfer ohne die Datenpartitionen vorgenommen. Anschließend habe ich sowohl die alte UCS-VM (mit neuer IP-Adresse) als auch die neue UCS-VM parallel laufen lassen, um die Datenpartitionen zu kopieren. Ich vermute, dass dieser parallele Betrieb zur heutigen Konfusion führt und die PCs sich nicht am richtigen UCS ihr Passwort erneuert haben.

Allerdings kann ich in den Logs des UCS keinen Hinweis auf diese Probleme finden. Vielleicht muss ein Debug-Modus eingeschaltet werden. Kann mir da jemand weiterhelfen?

Ist meine Vermutung überhaupt richtig, dass die Passworte der Computerkonten ungültig sind, da sie in dem Zeitraum des Parallelbetriebs erneuert wurden?

Ich habe noch eine Ergänzung. Wir betreiben den UCS als Master Server am Hauptstandort und einen UCS als Replica Directory Node bei einer Niederlassung, die dauerhaft per VPN verbunden ist.

Ich habe festgestellt, dass zahlreiche Anmeldungen bzw Authentifizierung in /var/log/auth.log auf dem RDN der Niederlassung protokolliert werden und nicht auf dem Hauptserver am Hauptstandort. Das kann aber jederzeit wechseln.

Da die Anmeldeprobleme sporadisch sind und zT durch (mehrere) Neustart(s) eines Windows Clients behoben werden können, oder aber auftreten, wenn ein User seinen Bildschirm nur sperrt, vermute ich, dass die Authentifizierungen auf die beiden Server spontan verteilt werden und dort unterschiedlich funktionieren.