none
Anzeige von SIDs in ACL-Liste nach Migration auf Windows Server 2012 RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Zusammen,

    ich habe ein Windows2000-basierendes AD mit Umweg über Windows2008R2 nach Windows Server 2012R2 migriert, wobei sich Forest und Domäne immer noch auf Funktionslevel 2003 befinden.

    Der File-Server (ehemals Windows2000-DC, jetzt Member-Server in derDomäne) soll abgelöst werden, wobei die Dateidaten inkl. der ACLs auf einen Windows2012R2-Server übernommen werden sollen.

    Auf dem alten 2000er Server werden in der Liste der NTFS-Zugriffs nur noch SIDs angezeigt. Die Kopie mit Robocopy und Parameter /SEC zur Übernahme der ACLs läuft zwar ohne Fehler durch, aber auch auf dem 2012er Zielserver werden nur SIDs in der ACL-Liste angezeigt, wobei sich die SIDs beim Kopiervorgang sogar teilweise verändern.

    Ich hatte SMB-Signing im Verdacht, so dass ich diese mittels GPO deaktiviert habe. Alleridngs hat dies nmichts verändert.

    Kann mir jemand helfen:

    - Die Anzeige von Benutzerkontennamen anstatt von SIDs auf dem 2000er Server wiederherzustellen ?

    - DIE ACLs sauber auf den neuen Sever zu übernehmen ?

    Vielen Dank bereits im Voraus.

    Grüße

    Tobias

    Montag, 24. August 2015 19:34
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hi,
     
    Am 24.08.2015 um 21:34 schrieb Tobias_FFB:
    > wobei sich Forest und Domäne immer
    > noch auf Funktionslevel 2003 befinden.
     
    Warum? Hast du noch 2003 DCs(!) im Einsatz? Ansonsten gibt es keinen
    Grund dafür.
    Raufstufen und DFS-R anstelle von NTFRS konfigurieren, Papierkorb
    aktivieren.
     
    > Der File-Server (ehemals Windows2000-DC [...]
    > Auf dem alten 2000er Server werden in der Liste der NTFS-Zugriffs nur
    > noch SIDs angezeigt.
     
    Als der 2000 Server "DC" wurde, der erste DC für das AD, hat er seine
    LOKALE SID zur Domänen SID angehoben und diese für alle Domänenkonten
    genutzt.
    Wenn er runtergesstuft wird braucht er wieder eine lokale SID, da er
    keine andere kennt als "seine alte" nutzt er diese.
     
    Bean Wells hat da mal ein paar Stolpersteine zusammengefasst:
    Impact of Cloning and Virtualization on Active Directory Domain Services
     
    Er ist also praktisch die Verwaltungsinstanz aller RIDs beginnend mit
    dieser SID. Der "fehler" ist jetzt: in seiner lokalen SAM gibt es keine
    Benutzer mit dieser SID. Denn die werden ja im AD verwaltet.
    Da er aber das AD nicht fragt, er ist schliesslich der Chef für den
    Nummerkreis, er muss nicht fragen, kann er sie nicht auflösen.
     
    Doof gelaufen. Das kannst du praktisch auf dem 2000 nicht korrigieren,
    ausser durch DCpromo.
     
    Der Fehler sollte auf einem anderen Member nicht passieren, es sei denn,
    er wurde als Clone vom 2000 erstellt und dann per Update auf eine
    neueres System gebracht, dann hätte er nämlch immer noch dieselbe lokale
    SID. Aber das geht ja bei 2000->2012 nicht.
     
    Prüf noch mal ob die SIDs, tatsächlich die der Domäne sind, oder ob es
    "andere" sind zB lokale Gruppen/User eines Memberservers.
    Nimm einfach einen Domänenbenutzer melde dich an und schau in der
    Registry unter HKey_Users. Die SID sollte identische sein, bis auf die RID.
     
    Statt robocopy, wäre auch Backup/Restore auf Dateieben eine lösung, oder
    FSMT, das nimmt auch Sharepermissions mit.
     
    Du kannst auch mit setacl.exe von Helgeklein, die ACL in eine Textdatei
    sichern, dann per Notepad korrigieren (SID tauschen, wenn notwendig) und
    wieder anwenden.
     
    Aber auf dem 2012 sollte es "ordentlich" aussehen, wenn es DomänenSIDs sind.
     
    Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    • Als Antwort markiert Tobias_FFB Dienstag, 22. September 2015 15:55
    Dienstag, 25. August 2015 08:21
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hi,
     
    Am 24.08.2015 um 21:34 schrieb Tobias_FFB:
    > wobei sich Forest und Domäne immer
    > noch auf Funktionslevel 2003 befinden.
     
    Warum? Hast du noch 2003 DCs(!) im Einsatz? Ansonsten gibt es keinen
    Grund dafür.
    Raufstufen und DFS-R anstelle von NTFRS konfigurieren, Papierkorb
    aktivieren.
     
    > Der File-Server (ehemals Windows2000-DC [...]
    > Auf dem alten 2000er Server werden in der Liste der NTFS-Zugriffs nur
    > noch SIDs angezeigt.
     
    Als der 2000 Server "DC" wurde, der erste DC für das AD, hat er seine
    LOKALE SID zur Domänen SID angehoben und diese für alle Domänenkonten
    genutzt.
    Wenn er runtergesstuft wird braucht er wieder eine lokale SID, da er
    keine andere kennt als "seine alte" nutzt er diese.
     
    Bean Wells hat da mal ein paar Stolpersteine zusammengefasst:
    Impact of Cloning and Virtualization on Active Directory Domain Services
     
    Er ist also praktisch die Verwaltungsinstanz aller RIDs beginnend mit
    dieser SID. Der "fehler" ist jetzt: in seiner lokalen SAM gibt es keine
    Benutzer mit dieser SID. Denn die werden ja im AD verwaltet.
    Da er aber das AD nicht fragt, er ist schliesslich der Chef für den
    Nummerkreis, er muss nicht fragen, kann er sie nicht auflösen.
     
    Doof gelaufen. Das kannst du praktisch auf dem 2000 nicht korrigieren,
    ausser durch DCpromo.
     
    Der Fehler sollte auf einem anderen Member nicht passieren, es sei denn,
    er wurde als Clone vom 2000 erstellt und dann per Update auf eine
    neueres System gebracht, dann hätte er nämlch immer noch dieselbe lokale
    SID. Aber das geht ja bei 2000->2012 nicht.
     
    Prüf noch mal ob die SIDs, tatsächlich die der Domäne sind, oder ob es
    "andere" sind zB lokale Gruppen/User eines Memberservers.
    Nimm einfach einen Domänenbenutzer melde dich an und schau in der
    Registry unter HKey_Users. Die SID sollte identische sein, bis auf die RID.
     
    Statt robocopy, wäre auch Backup/Restore auf Dateieben eine lösung, oder
    FSMT, das nimmt auch Sharepermissions mit.
     
    Du kannst auch mit setacl.exe von Helgeklein, die ACL in eine Textdatei
    sichern, dann per Notepad korrigieren (SID tauschen, wenn notwendig) und
    wieder anwenden.
     
    Aber auf dem 2012 sollte es "ordentlich" aussehen, wenn es DomänenSIDs sind.
     
    Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    • Als Antwort markiert Tobias_FFB Dienstag, 22. September 2015 15:55
    Dienstag, 25. August 2015 08:21
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark,

    bitte entschuldige die späte Rückmeldung.

    Die Hinweise haben mir sehr geholfen das Problem zu lösen.

    Vielen Dank.

    Grüße

    Tobias


    • Bearbeitet Tobias_FFB Dienstag, 22. September 2015 15:56
    Dienstag, 22. September 2015 15:55
    |