none
2003からのユーザー移行 RRS feed

  • 質問

  • ADMT3.1を利用して、ユーザー移行を行いました。
    既存のファイルサーバ上の共有フォルダに対してアクセス権のある、グループも移行し
    SID履歴も一緒に移行させたのですが、既存のファイルサーバ上のフォルダにアクセスできません。
    セキュリティの変換ウィザード使えば、既存の共有フォルダ上に移行先の名前のアクセス権が追加
    され、アクセスできるのですが、できればSID履歴でアクセスしたいと考えています。

    もし心当たりがあればご教授お願いします。
    2009年1月6日 8:53

回答

  • いろいろテストしてみたんですが、どうも2008のNETDOMコマンドがうまく動作していない感じがします。

    netdom trust 2008Dom /D:2003Dom /quarantine:no

    とした後、quarantineパラメータなしで確認してもSIDフィルタが有効になっています、と表示されます。
    上記のquarantine:yesにしても、SIDフィルタが有効になっています、で変わりません。

    表示だけの問題かとも思ったのですが、2003のnetdomで同じことをして、確認するとSIDフィルタは有効になって
    いません、と2008上で表示されます。

    しかし、

    netdom trust 2003Dom /D:2008Dom /quarantine:no(やりたいのはこちら)

    を2003から行うと、アクセスが拒否されました、と実行できません(双方の管理者を双方のAdministratorsに入れてます)。
    2008からは、SIDフィルタが有効になっています、と出るのでコマンドの実行はできているようです。
    2003のnetdomにud,pd,uo,poをつけても同じです。

    2003のnetdomでアクセス拒否にならないか、2008のnetdomがきちんと動くかしないとSID履歴を移行しても、昔の
    サーバーにその履歴でアクセスするのは無理かもしれない気がします。

    引き続き心当たりのある方がいらしたら、ご教授いただければ幸いです。



    2009年1月8日 2:28
  • チャブーンです。

     

    検証ごくろうさまでした。この話ですが、IDG ジャパンの Windows Server World 1 月号の Active Directory マイグレーションの特集記事にもちらりと載っていますね。

     

    http://direct.idg.co.jp/item_detail.command?item_cd=WSW_200901&category_cd=MAGAZINE_WSW

     

    動作を見た限り、おそらくこれは netdom ツールのバグだと思います。

    2009年1月11日 17:11
    モデレータ
  • チャブーンさん、情報ありがとうございました。

    Windows Server World は読んでいないので、探して読んでみることにします。書いておられるのは、懐かしの(ごめんなさい、昔Niftyでお世話になったという意味です)canoさんみたいですし。

    しかし情報がほとんどなかったのは、まだまだ2008への移行ケースが少ないということですかね。
    2009年1月13日 0:35

すべての返信

  • いろいろテストしてみたんですが、どうも2008のNETDOMコマンドがうまく動作していない感じがします。

    netdom trust 2008Dom /D:2003Dom /quarantine:no

    とした後、quarantineパラメータなしで確認してもSIDフィルタが有効になっています、と表示されます。
    上記のquarantine:yesにしても、SIDフィルタが有効になっています、で変わりません。

    表示だけの問題かとも思ったのですが、2003のnetdomで同じことをして、確認するとSIDフィルタは有効になって
    いません、と2008上で表示されます。

    しかし、

    netdom trust 2003Dom /D:2008Dom /quarantine:no(やりたいのはこちら)

    を2003から行うと、アクセスが拒否されました、と実行できません(双方の管理者を双方のAdministratorsに入れてます)。
    2008からは、SIDフィルタが有効になっています、と出るのでコマンドの実行はできているようです。
    2003のnetdomにud,pd,uo,poをつけても同じです。

    2003のnetdomでアクセス拒否にならないか、2008のnetdomがきちんと動くかしないとSID履歴を移行しても、昔の
    サーバーにその履歴でアクセスするのは無理かもしれない気がします。

    引き続き心当たりのある方がいらしたら、ご教授いただければ幸いです。



    2009年1月8日 2:28
  • 動作する方法を見つけました。
    2003のnetdom.exeを2008で動かすと、望みどおりの挙動になりました。

    しかし

    http://technet.microsoft.com/ja-jp/library/cc755427.aspx

    にもquarantine:yesがSIDフィルタを無効にする、とあったり
    (私が検証している限り正しくないようです。また上記URLの記述の上の例はnoになってます)
    netdomのヘルプもSIDフィルタはデフォルト有効(これは正しい)で、
    その値はnoである、と書いていたりでずいぶんと振り回されました。

    netdom trust quarantineで検索するとこのスレッドが早くも上のほうにいるので、
    情報として書いておきます。
    2009年1月8日 6:50
  • チャブーンです。

     

    検証ごくろうさまでした。この話ですが、IDG ジャパンの Windows Server World 1 月号の Active Directory マイグレーションの特集記事にもちらりと載っていますね。

     

    http://direct.idg.co.jp/item_detail.command?item_cd=WSW_200901&category_cd=MAGAZINE_WSW

     

    動作を見た限り、おそらくこれは netdom ツールのバグだと思います。

    2009年1月11日 17:11
    モデレータ
  • チャブーンさん、情報ありがとうございました。

    Windows Server World は読んでいないので、探して読んでみることにします。書いておられるのは、懐かしの(ごめんなさい、昔Niftyでお世話になったという意味です)canoさんみたいですし。

    しかし情報がほとんどなかったのは、まだまだ2008への移行ケースが少ないということですかね。
    2009年1月13日 0:35