Fragensteller
Merkwürdiges Verhalten im Active Directory

Allgemeine Diskussion
-
Hallo zusammen,
wir haben hier ein merkwürdiges Verhalten bei Benutzerrechten innerhalb unserer Domäne.
Hintergrund:
Windowsdomäne Win2k8 R2
2 Domaincontroller (Domäne wurde in rootdomain im Log umbenannt)
1 alte abgeschaltete untergeordnete Domäne (wurde in totedomaene im Log umbenannt)
1 Trust zu einer weiteren Domäne an einem anderen Standort
Es kam bei uns im Unternehmen in den letzten Jahren zu massiven Änderungen an den Strukturen, was auch am AD nicht spurlos vorüberging. Externe Rechenzentren, welche Teile der IT Struktur gehostet haben, Verbindungen zu diversen Standorten wurden geschaffen und wieder aufgelöst. Rechenzentren wurden gebaut und wieder abgeschaltet. Zudem gab es noch mehrere Wechsel bei den Administratoren und die noch existierenden Domänen wurden zum Schluß auf 2008R2 geupgradet.
Mein Problem: Teilweise haben die Benutzer das Problem das Berechtigungen nicht richtig gelesen werden. Die Berechtigungen auf Dateiebene werden eigentlich immer vererbt. Nun kommt es teilweise bei den Dateien zu Zugriffsverweigerungen, obwohl die Berechtigungen auf jeden Fall vorhanden sind. Die Berechtigung wird vom übergeordneten Ordner vererbt. Nun kann der Benutzer auf Datei A zugreifen, aber nicht auf Datei B. Zudem kommt es zu Problemen wenn Benutzer neu in Berechtigungsgruppen aufgenommen werden. Hier werden die Berechtigungen korrekt angezeigt, aber der Benutzer kann trotzdem nicht auf die Dateien zugreifen. Auch eine Replikation der Domänencontroller hat hier keinen Effekt. Am nächsten Tag funktioniert es dann aber.
Hat jemand eine Idee wo das Problem ungefähr liegen könnte (Replikation, DNS, Netzwerk, Sonneneruptionen -_- )?
Wir haben 2 Domänencontroller die auch jeweils DNS Server sind. Ursprünglich waren es 3, aber eine wurde mit DCPROMO zum Memberserver gestuft und ist weiterhin als Intranetserver aktiv. Es gibt ein DNS Forwarding zu einer externen Domäne, zu der ein Trust besteht. Eine alte Subdomain findet sich noch im System, ist aber nicht mehr aktiv. Upgrade auf 2008R2 ist ca. 3 Monate her.
Anbei ein Link zu einer DCDIAG /a /c /v Datei.
Vielen Dank schon mal :)- Bearbeitet XgandalfXo Mittwoch, 4. Juli 2012 06:26 Typo
- Typ geändert Raul TalmaciuMicrosoft contingent staff Dienstag, 10. Juli 2012 10:45 Warten auf Feedback
Alle Antworten
-
Ok, ein Problem was ich gerade festgestellt habe; Der DC1 hatte noch den alten DC/DNS Server, welcher heruntergestuft wurde in den eigenen TCP/IP Einstellungen als DNS Server eingetragen. Das wird wohl die DNS Abfrage Fehler in DCDIag für die 172.16.0.31 verursacht haben.
-
Hallo,
falls die alte untergeordnete Domäne nicht mehr benötigt wird könnt ihr sie komplett entfernen mit http://support.microsoft.com/kb/230306
Für die eingefügte Fehlermeldung prüft bitte mit http://technet.microsoft.com/en-us/library/cc794759(WS.10).aspx
Starting test: VerifyEnterpriseReferences
Beim Verifizieren mehrerer wichtiger DN-Verweise wurden die folgenden
Probleme festgestellt. Hinweis: Diese Probleme sind m”glicherweise auf
die Verz”gerung bei der Replikation zurckzufhren. Aus diesem Grund
ist nur dann eine Aktion erforderlich, wenn dasselbe Problem auf allen
Dom„nencontrollern einer Dom„ne auftritt oder das Problem auch noch
besteht, nachdem ausreichend Zeit zum Replizieren der Žnderungen
vergangen ist.
[1] Problem: Erwarteter Wert nicht vorhanden.Basisobjekt: CN=LSDC2,OU=Domain Controllers,DC=rootdomain,DC=local
Beschreibung des Basisobjekts: "DC-Kontoobjekt"
Attributname des Wertobjekts: msDFSR-ComputerReferenceBL
Beschreibung des Wertobjekts: "SYSVOL FRS-Mitgliedsobjekt"
Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862"
[2] Problem: Erwarteter Wert nicht vorhanden.Basisobjekt: CN=LSDC1,OU=Domain Controllers,DC=rootdomain,DC=local
Beschreibung des Basisobjekts: "DC-Kontoobjekt"
Attributname des Wertobjekts: msDFSR-ComputerReferenceBL
Beschreibung des Wertobjekts: "SYSVOL FRS-Mitgliedsobjekt"
Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862"
Folgende Fehlermeldung könnt ihr ignorieren oder mit adprep /rocprep auflösen, egal ob RODCs eingesetzt werden oder nicht, mein bevorzugter Weg eines sauberen dcdiag Protokolls.
Starting test: NCSecDesc
* Security Permissions check for all NC's on DC LSDC1.
The forest is not ready for RODC. Will skip checking ERODC ACEs.
* šberprfung der Sicherheitsberechtigungen frDC=ForestDnsZones,DC=rootdomain,DC=local
(NDNC,Version 3)
Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keineReplicating Directory Changes In Filtered Set
Zugriffsrechte fr den Namenskontext:DC=ForestDnsZones,DC=rootdomain,DC=local
* šberprfung der Sicherheitsberechtigungen frDC=DomainDnsZones,DC=rootdomain,DC=local
(NDNC,Version 3)
Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keineReplicating Directory Changes In Filtered Set
Zugriffsrechte fr den Namenskontext:DC=DomainDnsZones,DC=rootdomain,DC=local
* šberprfung der Sicherheitsberechtigungen frCN=Schema,CN=Configuration,DC=rootdomain,DC=local
(Schema,Version 3)
* šberprfung der Sicherheitsberechtigungen frCN=Configuration,DC=rootdomain,DC=local
(Configuration,Version 3)
* šberprfung der Sicherheitsberechtigungen frDC=rootdomain,DC=local
(Domain,Version 3)
* šberprfung der Sicherheitsberechtigungen frDC=totedomain ,DC=rootdomain,DC=local
(Domain,Version 2)
......................... LSDC1 hat den Test NCSecDesc nichtDie 172.20.3.1 und 172.20.3.2 sind für die Vertrauensstellung unter den DNS Weiterleitungsservern? Hier schlage ich vor eine bedingte Weiterleitung einzurichten, falls nicht getan, Du sprachst nur von allgemeiner Weiterleitung http://technet.microsoft.com/de-de/library/cc794735(v=ws.10). http://msmvps.com/blogs/ad/archive/2008/09/05/how-to-configure-conditional-forwarders-in-windows-server-2008.aspx
LSDC1 besitzt einen DNS Server Eintrag auf der Netzwerkkarte der nicht gültig ist 172.16.0.31, ích vermute 172.16.0.131 ist gemeint?
DCOM Fehler wie "DCOM konnte mit dem Computer "213.252.154.2" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen. Fehler. Ereignis-ID: 0xC0002719" hängen mit der Firewall zusammen und muss entweder freigeschaltet werden oder ihr ignoriert es.
Best regards
Meinolf Weber
MVP, MCP, MCTS
Microsoft MVP - Directory Services
My Blog: http://msmvps.com/blogs/mweber/Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.
- Bearbeitet Meinolf Weber Mittwoch, 4. Juli 2012 06:53
-
> vererbt. Nun kommt es teilweise bei den Dateien zu> Zugriffsverweigerungen, obwohl die Berechtigungen auf jeden Fall> vorhanden sind. Die Berechtigung wird vom übergeordnetenPrüf mal die Anzahl der Gruppenmitgliedschaften der User:dsquery user -samid xyz | dsget user -memberof -expandSind das mehr als etwa 80, könntest Du unter Token Bloating leiden...mfg Martin
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating! -
Hi zusammen,
danke für die Antworten.
Mitgliedsgruppen der letzten 2 Benutzer, bei denen das Problem aufgetreten ist, lag bei unter 10. Daran kann es also wohl nicht liegen.
Ich habe jetzt nochmal versucht DCDiag zu bereinigen. Die alte Sub-Domain muss ich demnächst mal entfernen, aber das wird noch etwas dauern. Die DCOM Fehler werden wohl durch Ablehnung am entfernten DNS Server zustande kommen. Die Firewall leitet die Anfragen auf jeden Fall weiter.
Womit ich nicht klar komme ist die Fehlermeldung mit den FRS Einträgen. Der von Microsoft im Protokoll verlinkte KB Artikel trifft gar nicht zu, da es sich dabei um Szenarien mit RODC handelt. Der von Meinolf verlinkte Artikel bringt mich nicht so wirklich weiter.
Ich habe beide Punkte geprüft. FRS sieht gut aus. Beide Namen stimmen mit den Servernamen überein. SYSVOL repliziert auch ordentlich. Der Ordner DFSR-Global Settings enthält gar keine Einträge. Aber evtl. ist da das Problem. Die Benutzer bekommen die Gruppenlaufwerke über ein DFS Share bereit gestellt und DFS hatte während des Umstellungsprozesses auf Win2k8 massive Probleme bereitet. Evtl. gibts da noch Probleme.
Gibts da einen guten Plan wie man DFS/DFSR komplett aus dem System entfernen kann? Ich hatte es bei der Umstellung versucht, bin aber gescheitert, auch wenn es heute wieder oberflächlich gut läuft.
Danke euch!
Gruß Chris
-
PS: Noch einmal ein aktualisiertes DCDiag
-
Hallo,
der Ordner DFSR-GlobalSettings enthält NUR Daten wenn Ihr auch DFS-R benutzt für die SYSVOL Replikation. Dies ist möglich wenn die Windows Server 2008 Domänenfunktionsebene oder höher benutzt wird. http://technet.microsoft.com/de-de/library/cc794837(v=ws.10)
Falls die Domäne von Windows Server 2003 aktualisiert wurde ist noch immer FRS aktiv bis Ihr das manuell umstellt. Die Artikel http://blogs.technet.com/b/askds/archive/2010/04/22/the-case-for-migrating-sysvol-to-dfsr.aspx und http://blogs.technet.com/b/askds/archive/2009/01/05/dfsr-sysvol-migration-faq-useful-trivia-that-may-save-your-follicles.aspx geben da nähere Infos zu.
Best regards
Meinolf Weber
MVP, MCP, MCTS
Microsoft MVP - Directory Services
My Blog: http://msmvps.com/blogs/mweber/Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.
-
Hallo,
bist Du inzwischen weitergekommen?
Gruss,
RaulRaul Talmaciu, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.