none
Merkwürdiges Verhalten im Active Directory RRS feed

  • Allgemeine Diskussion

  • Hallo zusammen,

    wir haben hier ein merkwürdiges Verhalten bei Benutzerrechten innerhalb unserer Domäne.

    Hintergrund:

    Windowsdomäne Win2k8 R2

    2 Domaincontroller (Domäne wurde in rootdomain im Log umbenannt)

    1 alte abgeschaltete untergeordnete Domäne (wurde in totedomaene im Log umbenannt)

    1 Trust zu einer weiteren Domäne an einem anderen Standort

    Es kam bei uns im Unternehmen in den letzten Jahren zu massiven Änderungen an den Strukturen, was auch am AD nicht spurlos vorüberging. Externe Rechenzentren, welche Teile der IT Struktur gehostet haben, Verbindungen zu diversen Standorten wurden geschaffen und wieder aufgelöst. Rechenzentren wurden gebaut und wieder abgeschaltet. Zudem gab es noch mehrere Wechsel bei den Administratoren und die noch existierenden Domänen wurden zum Schluß auf 2008R2 geupgradet.

    Mein Problem: Teilweise haben die Benutzer das Problem das Berechtigungen nicht richtig gelesen werden. Die Berechtigungen auf Dateiebene werden eigentlich immer vererbt. Nun kommt es teilweise bei den Dateien zu Zugriffsverweigerungen, obwohl die Berechtigungen auf jeden Fall vorhanden sind. Die Berechtigung wird vom übergeordneten Ordner vererbt. Nun kann der Benutzer auf Datei A zugreifen, aber nicht auf Datei B. Zudem kommt es zu Problemen wenn Benutzer neu in Berechtigungsgruppen aufgenommen werden. Hier werden die Berechtigungen korrekt angezeigt, aber der Benutzer kann trotzdem nicht auf die Dateien zugreifen. Auch eine Replikation der Domänencontroller hat hier keinen Effekt. Am nächsten Tag funktioniert es dann aber.

    Hat jemand eine Idee wo das Problem ungefähr liegen könnte (Replikation, DNS, Netzwerk, Sonneneruptionen -_- )?

    Wir haben 2 Domänencontroller die auch jeweils DNS Server sind. Ursprünglich waren es 3, aber eine wurde mit DCPROMO zum Memberserver gestuft und ist weiterhin als Intranetserver aktiv. Es gibt ein DNS Forwarding zu einer externen Domäne, zu der ein Trust besteht. Eine alte Subdomain findet sich noch im System, ist aber nicht mehr aktiv. Upgrade auf 2008R2 ist ca. 3 Monate her.

    Anbei ein Link zu einer DCDIAG /a /c /v Datei.

    DCDiag via Skydrive


    Vielen Dank schon mal :)
    Mittwoch, 4. Juli 2012 06:25

Alle Antworten

  • Ok, ein Problem was ich gerade festgestellt habe; Der DC1 hatte noch den alten DC/DNS Server, welcher heruntergestuft wurde in den eigenen TCP/IP Einstellungen als DNS Server eingetragen. Das wird wohl die DNS Abfrage Fehler in DCDIag für die 172.16.0.31 verursacht haben.

    Mittwoch, 4. Juli 2012 06:38
  • Hallo,

    falls die alte untergeordnete Domäne nicht mehr benötigt wird könnt ihr sie komplett entfernen mit http://support.microsoft.com/kb/230306

    Für die eingefügte Fehlermeldung prüft bitte mit http://technet.microsoft.com/en-us/library/cc794759(WS.10).aspx

    Starting test: VerifyEnterpriseReferences

             Beim Verifizieren mehrerer wichtiger DN-Verweise wurden die folgenden

             Probleme festgestellt. Hinweis: Diese Probleme sind m”glicherweise auf

             die Verz”gerung bei der Replikation zurckzufhren. Aus diesem Grund

             ist nur dann eine Aktion erforderlich, wenn dasselbe Problem auf allen

             Dom„nencontrollern einer Dom„ne auftritt oder das Problem auch noch

             besteht, nachdem ausreichend Zeit zum Replizieren der Žnderungen

             vergangen ist.
                [1] Problem: Erwarteter Wert nicht vorhanden.

                 Basisobjekt: CN=LSDC2,OU=Domain Controllers,DC=rootdomain,DC=local

                 Beschreibung des Basisobjekts: "DC-Kontoobjekt"

                 Attributname des Wertobjekts: msDFSR-ComputerReferenceBL

                 Beschreibung des Wertobjekts: "SYSVOL FRS-Mitgliedsobjekt"

                 Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862"

                
                [2] Problem: Erwarteter Wert nicht vorhanden.

                 Basisobjekt: CN=LSDC1,OU=Domain Controllers,DC=rootdomain,DC=local

                 Beschreibung des Basisobjekts: "DC-Kontoobjekt"

                 Attributname des Wertobjekts: msDFSR-ComputerReferenceBL

                 Beschreibung des Wertobjekts: "SYSVOL FRS-Mitgliedsobjekt"

                 Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862"

    Folgende Fehlermeldung könnt ihr ignorieren oder mit adprep /rocprep auflösen, egal ob RODCs eingesetzt werden oder nicht, mein bevorzugter Weg eines sauberen dcdiag Protokolls.

    Starting test: NCSecDesc

             * Security Permissions check for all NC's on DC LSDC1.
             The forest is not ready for RODC. Will skip checking ERODC ACEs.
             * šberprfung der Sicherheitsberechtigungen fr

               DC=ForestDnsZones,DC=rootdomain,DC=local
                (NDNC,Version 3)
             Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine

                Replicating Directory Changes In Filtered Set
             Zugriffsrechte fr den Namenskontext:

             DC=ForestDnsZones,DC=rootdomain,DC=local
             * šberprfung der Sicherheitsberechtigungen fr

               DC=DomainDnsZones,DC=rootdomain,DC=local
                (NDNC,Version 3)
             Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine

                Replicating Directory Changes In Filtered Set
             Zugriffsrechte fr den Namenskontext:

             DC=DomainDnsZones,DC=rootdomain,DC=local
             * šberprfung der Sicherheitsberechtigungen fr

               CN=Schema,CN=Configuration,DC=rootdomain,DC=local
                (Schema,Version 3)
             * šberprfung der Sicherheitsberechtigungen fr

               CN=Configuration,DC=rootdomain,DC=local
                (Configuration,Version 3)
             * šberprfung der Sicherheitsberechtigungen fr

               DC=rootdomain,DC=local
                (Domain,Version 3)
             * šberprfung der Sicherheitsberechtigungen fr

               DC=totedomain ,DC=rootdomain,DC=local
                (Domain,Version 2)
             ......................... LSDC1 hat den Test NCSecDesc nicht

    Die 172.20.3.1 und 172.20.3.2 sind für die Vertrauensstellung unter den DNS Weiterleitungsservern? Hier schlage ich vor eine bedingte Weiterleitung einzurichten, falls nicht getan, Du sprachst nur von allgemeiner Weiterleitung http://technet.microsoft.com/de-de/library/cc794735(v=ws.10). http://msmvps.com/blogs/ad/archive/2008/09/05/how-to-configure-conditional-forwarders-in-windows-server-2008.aspx

    LSDC1 besitzt einen DNS Server Eintrag auf der Netzwerkkarte der nicht gültig ist 172.16.0.31, ích vermute  172.16.0.131 ist gemeint?

    DCOM Fehler wie "DCOM konnte mit dem Computer "213.252.154.2" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen. Fehler. Ereignis-ID: 0xC0002719" hängen mit der Firewall zusammen und muss entweder freigeschaltet werden oder ihr ignoriert es.


    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.


    Mittwoch, 4. Juli 2012 06:52
  •  
    > vererbt. Nun kommt es teilweise bei den Dateien zu
    > Zugriffsverweigerungen, obwohl die Berechtigungen auf jeden Fall
    > vorhanden sind. Die Berechtigung wird vom übergeordneten
     
    Prüf mal die Anzahl der Gruppenmitgliedschaften der User:
     
    dsquery user -samid xyz | dsget user -memberof -expand
     
    Sind das mehr als etwa 80, könntest Du unter Token Bloating leiden...
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 4. Juli 2012 10:02
  • Hi zusammen,

    danke für die Antworten.

    Mitgliedsgruppen der letzten 2 Benutzer, bei denen das Problem aufgetreten ist, lag bei unter 10. Daran kann es also wohl nicht liegen.

    Ich habe jetzt nochmal versucht DCDiag zu bereinigen. Die alte Sub-Domain muss ich demnächst mal entfernen, aber das wird noch etwas dauern. Die DCOM Fehler werden wohl durch Ablehnung am entfernten DNS Server zustande kommen. Die Firewall leitet die Anfragen auf jeden Fall weiter.

    Womit ich nicht klar komme ist die Fehlermeldung mit den FRS Einträgen. Der von Microsoft im Protokoll verlinkte KB Artikel trifft gar nicht zu, da es sich dabei um Szenarien mit RODC handelt. Der von Meinolf verlinkte Artikel bringt mich nicht so wirklich weiter.

    Ich habe beide Punkte geprüft. FRS sieht gut aus. Beide Namen stimmen mit den Servernamen überein. SYSVOL repliziert auch ordentlich. Der Ordner DFSR-Global Settings enthält gar keine Einträge. Aber evtl. ist da das Problem. Die Benutzer bekommen die Gruppenlaufwerke über ein DFS Share bereit gestellt und DFS hatte während des Umstellungsprozesses auf Win2k8 massive Probleme bereitet. Evtl. gibts da noch Probleme.

    Gibts da einen guten Plan wie man DFS/DFSR komplett aus dem System entfernen kann? Ich hatte es bei der Umstellung versucht, bin aber gescheitert, auch wenn es heute wieder oberflächlich gut läuft.

    Danke euch!

    Gruß Chris

    Donnerstag, 5. Juli 2012 08:19
  • PS: Noch einmal ein aktualisiertes DCDiag

    DCDiag via Sky Drive

    Donnerstag, 5. Juli 2012 08:23
  • Hallo,

    der Ordner DFSR-GlobalSettings enthält NUR Daten wenn Ihr auch DFS-R benutzt für die SYSVOL Replikation. Dies ist möglich wenn die Windows Server 2008 Domänenfunktionsebene oder höher benutzt wird. http://technet.microsoft.com/de-de/library/cc794837(v=ws.10)

    Falls die Domäne von Windows Server 2003 aktualisiert wurde ist noch immer FRS aktiv bis Ihr das manuell umstellt. Die Artikel http://blogs.technet.com/b/askds/archive/2010/04/22/the-case-for-migrating-sysvol-to-dfsr.aspx und http://blogs.technet.com/b/askds/archive/2009/01/05/dfsr-sysvol-migration-faq-useful-trivia-that-may-save-your-follicles.aspx geben da nähere Infos zu.


    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Donnerstag, 5. Juli 2012 09:45