none
ADMT RRS feed

  • Domanda

  • Ciao a tutti,
    ho scoperto l'esistenza di questo potentissimo tools che non conoscevo e pensavo di utilizzarlo per una migrazione di utenti da un Windows 2003 a un nuovo Windows 2012R2.
    Ho creato un ambiente di test con dominio 2003 e dominio 2012, eseguito un trust tra i due e sistemato la parte di dns con delle stub zone in modo che possano risolvere le zone di entrambe.
    Ho predisposto tre client a dominio del 2003 poi successivamente da migrare e qualche utente.
    Ho preparato una macchina win2012 con sopra ADMT 3.2 joinata al 2012.

    Su entrambe i domini ho aggiungo l'altro amministratore nel gruppo amministratori.
    Ho eseguito dei test con ADMT per trasferire degli utenti ma ho un problema:

    La migrazione della password funziona, non funziona la migrazione del SID, nonostante spunto il check dell'opzione quando lo migro, e per cui lo vedo nel nuovo dominio, ha un solo SID non ha mantenuto anche il SID originale per cui non mi sta andando la SID history.

    Se dopo la migrazione dell'utente provo a eseguire questo comando:
    "dsquery * -filter "&(objectcategory=user)(samaccountname=nome.cognome)" -attr objectsid"

    vedo un solo SID

    Ci sono altre posizioni dove posso vedere i SID, magari tramite GUI?
    Cosa sto sbagliando? Mi sono dimenticato qualche pezzo?

    Ciao e grazie come sempre


    venerdì 11 maggio 2018 15:51

Risposte

  • Sei sicuro di avere effettivamente un solo SID?
    Considera che l'oggetto migrato sul nuovo dominio avrà comunque un SID diverso, il SID history è un attributo aggiuntivo di ogni oggetto e non puoi vederlo con la query che stavi utilizzando.
    Dovresti invece utilizzare:
    dsquery * -filter "&(objectcategory=user)(samaccountname=nome.cognome)" -attr sidHistory
    Successivamente dovrai poi utilizzare il security translation per convertire i vecchi SID con il nuovo SID, ma nel frattempo il trust tra i due domini e il SID history faranno in modo che le risorse continuino ad essere disponibili agli utenti.
    In ogni caso il meccanismo del SIDhistory è solo a scopo temporaneo per il tempo strettamente necessario alla migrazione.
    sabato 12 maggio 2018 20:51
    Moderatore

Tutte le risposte

  • Ciao Angelo, verifica le attività eseguite con il seguente Step-by-Step. Inoltre, ti consiglio di verificare nei log creati da ADMT durate la fase di migrazione.

    Saluti
    Nino


    www.testerlab.it


    sabato 12 maggio 2018 13:50
    Moderatore
  • Sei sicuro di avere effettivamente un solo SID?
    Considera che l'oggetto migrato sul nuovo dominio avrà comunque un SID diverso, il SID history è un attributo aggiuntivo di ogni oggetto e non puoi vederlo con la query che stavi utilizzando.
    Dovresti invece utilizzare:
    dsquery * -filter "&(objectcategory=user)(samaccountname=nome.cognome)" -attr sidHistory
    Successivamente dovrai poi utilizzare il security translation per convertire i vecchi SID con il nuovo SID, ma nel frattempo il trust tra i due domini e il SID history faranno in modo che le risorse continuino ad essere disponibili agli utenti.
    In ogni caso il meccanismo del SIDhistory è solo a scopo temporaneo per il tempo strettamente necessario alla migrazione.
    sabato 12 maggio 2018 20:51
    Moderatore
  • Ma di quanti client stiamo parlando Angelo?

    A.

    domenica 13 maggio 2018 07:52
    Moderatore
  • Ciao e grazie per le risposte,
    effettivamente con il comando che mi hai girato esce un altro SID, qua sotto uno stamp:

    C:\Users\Administrator>dsquery * -filter "&(objectcategory=user)(samaccountname=alarico)" -attr sidHistory

    sidHistory
    S-1-5-21-3609477566-3841302830-2442072136-1122

    C:\Users\Administrator>dsquery * -filter "&(objectcategory=user)(samaccountname=alarico)" -attr objectsid

    objectsid
    S-1-5-21-1525327414-2682388831-32169751-1117

    Per cui direi che si porta dietro il SID originario e ne crea un secondo per cui funziona :)

    C'è un comando per vederli entrambe?

    Mi puoi spiegare meglio cos'è il "security translation" per convertire i vecchi SID con il nuovo SID, non lo conosco e come mai consigli di usarlo e non lasciare per sempre i due SID sugli utenti?

    l'ADMT funziona bene anche per trasferire i server? Ad esempio server con su gestionali a base sql?

    Stiamo parlando di circa 230 client.

    Grazie e ciao

    domenica 13 maggio 2018 20:08
  • Per vederli entrambi è semplice:

    dsquery * -filter "&(objectcategory=user)(samaccountname=nome.cognome)" -attr objectsid sidHistory
    Il meccanismo del SIDhistory è solo temporaneo perché l'associazione tra vecchio SID nelle ACL e SID history si basa sul trust con il vecchio dominio, quindi non funziona come il vero SID dell'oggetto utente.
    Come da guide ufficiali, il passaggio finale è quello di convertire le vecchie ACL sulle risorse con il nuovo SID degli utenti, quindi al termine della migrazione solo il nuovo SID verrà utilizzato mentre l'attributo aggiuntivo chiamato "SIDhistory" potrà venire eliminato.
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc974389(v%3dws.10)

    domenica 13 maggio 2018 21:07
    Moderatore
  • Ciao,
    grazie ancora per le risposte.

    Stavo procedendo nei test, e se da un pc su nuovo dominio, con utente loggato (trasferito da vecchio dominio e dunque con doppio SID) cerco di accedere ad una condivisione su vecchio dominio non mi fa accedere.

    Leggevo nella guida di disabilitare il "SID Filtering" con il seguente comando:

    netdom trust trustingDomain /domain:trustedDomain /enableSIDhistory:yes /usero:domainadministratorAcct /passwordo:domainadminpwd

    Esattamente cosa andrei a fare? 

    martedì 15 maggio 2018 15:17
  • Il SID filtering è una caratteristica dei trust e va disattivato, in caso contrario gli utenti non potranno autenticarsi mediante il SIDhistory.
    http://activedirectoryfaq.com/2015/10/active-directory-sid-filtering/
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/ee791773(v=ws.10)
    martedì 15 maggio 2018 15:33
    Moderatore
  • Ciao,

    ok ho fatto i test e funziona tutto, solo un'ultima domanda:

    Io nell'ambiente di test avevo un solo 2003 con a bordo AD, file sharing per cui il comando:

    netdom trust trustingDomain /domain:trustedDomain /enableSIDhistory:yes /usero:domainadministratorAcct /passwordo:domainadminpwd

    L'ho eseguito sul Win2003. Nel caso reale ho diverse macchine tra DC e File Sharing dove gli user migrati devono accedere, per cui eseguo il comando su tutti i server a cui devo dare accesso agli user migrati?

    Ciao e grazie
    Angelo

    venerdì 18 maggio 2018 10:13
  • Il trust è a livello di dominio, quindi non serve eseguirlo su tutti i server ma solo sul DC che detiene i ruoli.
    venerdì 18 maggio 2018 10:44
    Moderatore
  • OK grazie 1000

    Ciao
    Angelo

    lunedì 21 maggio 2018 12:16
  • Ciao a tutti,
    avrei qualche domanda ancora sull'ADMT che sto utilizzando con soddisfazione :)

    Può andare bene anche per la migrazione di server? Tipo file server ecc...? Controindicazione ed accorgimenti?

    Non mi è chiaro a cosa serve la parte di "Service Account Migration Wizard ", alcune guide dicono sia uno step non necessario. Quando si deve usare?

    Ciao e grazie come sempre
    Angelo

    mercoledì 6 giugno 2018 09:46
  • Si, certo, puoi utilizzarlo anche per la migrazione di file server.
    Il Service Account Migration Wizard serve se hai account di dominio configurati per l'avvio di determinati servizi.
    Ti consiglio la lettura di questa pagina: https://blog.thesysadmins.co.uk/admt-series-6-service-account-migration-wizard.html
    mercoledì 6 giugno 2018 19:56
    Moderatore