none
ADMT : Migration des SID History RRS feed

  • Question

  • Bonjour,

    Je fais suite au topic suivant : Migration vers Win2K12 en faisant partant de zéro où j'ai eu réponse à ma question.

    Néanmoins, je bloque sur un point : la migration des SID History avec ADMT.


    Lors de la tentative de migration des utilisateurs (ou groupes), une erreur est généré concernant les SID History :

    "ERR2:7434 SID History cannot be updated for MOI. If the domain controllers in the target domain are running Windows 2000 you must be a domain administrator. If the domain controllers in the target domain are running Windows Server 2003 or later you must either be a domain administrator or have allow Migrate SID History permission on the domain. rc=8344.

    WRN1:7392 SIDHistory could not be updated due to a configuration or permissions problem.  The Active Directory Migration Tool will not attempt to migrate the remaining objects."


    Pourtant, j'ai suivi la procédure suivante (j'ai testé toutes les méthodes) : Establishing Migration Accounts for Your Migration


    Ainsi que : Configuring the Source and Target Domains for SID History Migration


    J'ai également jeté un oeil sur http://blog.thesysadmins.co.uk/admt-series-1-preparing-active-directory.html


    Mais j'ai toujours la même erreur... Malgré le changement de stratégie d'audit, la création de groupe/user avec les bons droits (admin du domaine distant + admin local source, etc... Egalement testé avec tous les droits d'une délégation sur le domaine source, etc...), j'ai toujours la même erreur.

    Là, j'ai bien l'utilisateur (ou le groupe) qui migre mais en perdant le SID... Et donc les droits.

    Je n'ai pas encore testé Password Export Server.

    Je désespère...

    PS : ADMT a été installé sur le serveur source

    mercredi 5 novembre 2014 07:59

Réponses

Toutes les réponses

  • Bonjour,

    Je fais suite au topic suivant : Migration vers Win2K12 en faisant partant de zéro où j'ai eu réponse à ma question.

    Néanmoins, je bloque sur un point : la migration des SID History avec ADMT.


    Lors de la tentative de migration des utilisateurs (ou groupes), une erreur est généré concernant les SID History :

    "ERR2:7434 SID History cannot be updated for MOI. If the domain controllers in the target domain are running Windows 2000 you must be a domain administrator. If the domain controllers in the target domain are running Windows Server 2003 or later you must either be a domain administrator or have allow Migrate SID History permission on the domain. rc=8344.

    WRN1:7392 SIDHistory could not be updated due to a configuration or permissions problem.  The Active Directory Migration Tool will not attempt to migrate the remaining objects."


    Pourtant, j'ai suivi la procédure suivante (j'ai testé toutes les méthodes) : Establishing Migration Accounts for Your Migration


    Ainsi que : Configuring the Source and Target Domains for SID History Migration


    J'ai également jeté un oeil sur http://blog.thesysadmins.co.uk/admt-series-1-preparing-active-directory.html


    Mais j'ai toujours la même erreur... Malgré le changement de stratégie d'audit, la création de groupe/user avec les bons droits (admin du domaine distant + admin local source, etc... Egalement testé avec tous les droits d'une délégation sur le domaine source, etc...), j'ai toujours la même erreur.

    Là, j'ai bien l'utilisateur (ou le groupe) qui migre mais en perdant le SID... Et donc les droits.

    Je n'ai pas encore testé Password Export Server.

    Je désespère...

    PS : ADMT a été installé sur le serveur source

    Bonjour,

    A priori tu as un problème de droit. Es-tu sur que le compte que tu utilises est bien "Admins du domaine" des deux domaines ?


    Blog
    Scripts

    mercredi 5 novembre 2014 08:57
  • Dans votre approbation entre les 2 domaines le filtrage des SIDhistory a bien été enlévé ? (car par défaut l'approbation ne le laisse pas passer).

    voir Netdom trust TrustingDomainName /domain:TrustedDomainName /quarantine:No /usero:domainadministratorAcct/passwordo:domainadminpwd

    Voir aussi ; http://www.microsoft.com/fr-fr/download/details.aspx?id=19188

    Chapitre Création des comptes de migration pour la migration

    mercredi 5 novembre 2014 09:21
    Modérateur
  • Dans votre approbation entre les 2 domaines le filtrage des SIDhistory a bien été enlévé ? (car par défaut l'approbation ne le laisse pas passer).

    voir Netdom trust TrustingDomainName /domain:TrustedDomainName /quarantine:No /usero:domainadministratorAcct/passwordo:domainadminpwd

    Voir aussi ; http://www.microsoft.com/fr-fr/download/details.aspx?id=19188

    Chapitre Création des comptes de migration pour la migration


    Si c'est un serveur supérieur à 2008, et installé en Français, c'est "/quarantine:non" :)

    Blog
    Scripts

    mercredi 5 novembre 2014 09:56
  • Exact, le "no" a été traduit et pas le reste  ...
    mercredi 5 novembre 2014 10:07
    Modérateur
  • Bonjour,

    Non, mon utilisateur toto n'est pas admins du domaine des deux domaines.

    Comme indiqué dans la procédure Microsoft, mon utilisateur fait partie du groupe acct_migrators qui est :
    - membre du groupe admins du domaine du DC destination
    - membre du groupe administrateurs (Builtin) du DC source

    Et j'ai également essayé avec un utilisateur res_migrator qui est :
    - Admin du domaine dans le DC source
    - Droits complets sur le DC de destination... Les les SID History sont bien cochés.

    Mais cela ne change rien...

    mercredi 5 novembre 2014 10:15
  • Vous avez vérifier dans domaine et approbation AD sur l'approbation en question qu'il y a bien un "!" en jaune qui indique que le filtrage SID est bien désactivé.

    Le filtrage SID empeche le passage du Sidhistory dans l'approbation entre les domaines.

    mercredi 5 novembre 2014 10:46
    Modérateur
  • Bonjour,

    Je viens d'effectuer la commande netdom trust, sur les deux DC, dans les deux sens.

    Win2008 m'indique bien "Le filtrage des SID n'est pas activé pour cette approbation. Tous les SID présentés dans une demande d'authentification provenant de ce domaine seront honorés.".

    Et Win2012 "Le filtrage des SID n'est pas activé pour cette approbation.".

    Mais... Toujours la même erreur...

    mercredi 5 novembre 2014 11:13
  • Je en vois nul part de "!".

    Que ce soit sur le Win2008 ou Win2012. Dans la MMC 'Domaines et appréciations Active Directory" > clic droit sur le domaine > Propriétés > Onglet Approbations. Je ne vois nul part de "!".

    mercredi 5 novembre 2014 11:18
  • Donc le SID filtering est activé sinon cela devrait apparaître comme cela :

    Si le point d'exclamation existe c'est que le history peut transiter et que c'est OK. 

    Sinon il faut le désactiver lors d'une migration ADMT :

    Netdom trust TrustingDomainName /domain:TrustedDomainName /quarantine:Non /usero:domainadministratorAcct/passwordo:domainadminpwd

    voir

    http://pbarth.fr/node/82



    mercredi 5 novembre 2014 11:23
    Modérateur
  • C'est ce que j'ai fait. Voir message plus haut.

    Win2008 m'indique bien "Le filtrage des SID n'est pas activé pour cette approbation. Tous les SID présentés dans une demande d'authentification provenant de ce domaine seront honorés.".

    Et Win2012 "Le filtrage des SID n'est pas activé pour cette approbation.".

    Mais je n'ai pas de "!" indiquant que le SID est désactivé.

    mercredi 5 novembre 2014 13:08
  • Bonjour

    Avez-vous délégué le droit étendu permettant de migrer les SID à la racine de la partition de domaine ?

    Concernant les relations d'approbation le quarantine est utilisé pour les RA de type Externe, pour des RA de type Forêt il faut utiliser enableSIDHistory. Dans tous les cas la configuration de la RA n'empêche pas de migrer le sid.

    Cdt,

    mercredi 5 novembre 2014 16:43
  • Bonjour,

    J'utilise l'utilisateur admin du domaine du domaine cible comme utilisateur ADMT (installé sur la machine source). Il a donc les droits. Dans le doute, j'ai tout de même fait une délégation au niveau de la racine, en donnant l'intégralité des droits.

    J'ai fait de même, sur le domaine source dans le doute... Toujours avec mon admin du domaine cible (qui est également dans un groupe faisant parti du groupe BUILTIN\Administreurs du domaine source comme expliqué plus haut).

    Je viens d'exécuter les commandes suivantes :

    Domaine source (Win2008) :

    Netdom trustTrustingDomainName/domain:TrustedDomainName/enablesidhistory:Yes/usero:domainadministratorA

    Netdom trustTrustedDomainName/domain:TrustingDomainName/enablesidhistory:Yes/usero:domainadministratorA

    Domaine cible (Win2012) :

    Netdom trustTrustingDomainName/domain:TrustedDomainName/enablesidhistory:Oui/usero:domainadministratorA

    Netdom trustTrustedDomainName/domain:TrustingDomainName/enablesidhistory:YesOui:domainadministratorA

    J'ai bien eu le message "Activation de l'historique des SID pour cette approbation".

    Pour info, j'ai fait une relation d'approbation de forêt, transitive (la confirmation de l'approbation a bien été effectuée).

    jeudi 6 novembre 2014 08:00
  • J'ai pas vu que c'était une approbation  de forêt, donc normal qu'il n'y a pas d'avertissement.

    Par défaut le compte admin du domaine n'a pas le droit "migrer le historique SID" :

    il faut :

    voir http://www.microsoft.com/fr-fr/download/details.aspx?id=19188

    chapitre

    Création des comptes de migration pour la migration

    • Marqué comme réponse Boris Ivanov _ vendredi 7 novembre 2014 10:13
    vendredi 7 novembre 2014 07:20
    Modérateur
  • Merci de votre réponse.

    Je viens de vérifier et ceci est déjà coché pour le compte admin du domaine du domaine cible. J'ai également ajouté l'admin du domaine cible au niveau de la racine du domaine source, en cochant "Migrer l'historique SID".

    Même soucis...

    EDIT : et j'ai bien mis cet objet et tous ceux descendants

    • Modifié Kyo67 lundi 10 novembre 2014 08:48
    lundi 10 novembre 2014 07:57

  • PS : ADMT a été installé sur le serveur source

    Bonjour,

    ADMT doit être installé dans la forêt cible.

    Cdt,


    • Proposé comme réponse Denis MORGEN jeudi 13 novembre 2014 11:11
    • Marqué comme réponse Boris Ivanov _ jeudi 13 novembre 2014 12:28
    mercredi 12 novembre 2014 07:54
  • Ah!!!!!

    Merci!

    Je n'ai plus d'erreur mais si je compare les propriétés de mon user et notamment objectSid et objectGUID, je n'ai la même chose entre les deux AD.

    De plus, je perds mes attributs UNIX.

    A noter que j'ai tout de même un warning. "ADMT n'a pas pu effectuer la migration de certaines propriétés pour ce type d'objet (user en raison de différences de schéma)...".

    jeudi 13 novembre 2014 11:14