locked
Migração de Dominio RRS feed

  • Pergunta

  • Bom dia Pessoal!

    Estou tendo alguns problemas pós migração das maquinas com windows 7, o processo é o seguinte:

    Domínio A esta sendo migrado os usuários, grupos e computadores para domínio B.

    SID filtering esta desabilitado.

    Maquinas com windows 10 conseguem acessar o servidor de arquivos que esta no domínio A pós migração sem problemas, porem as maquinas que estão com Windows 7 não consegue acessar o servidor de arquivos é solicitado as credenciais de login, alguém tem alguma ideia do que pode ser o problema?

    quinta-feira, 14 de fevereiro de 2019 21:57

Respostas

  • Tiago, boa tarde!

    É possível que devido a versão do SMB client do Windows 7, o ticket kerberos não esteja sendo sendo formatado corretamente, levando a solicitação das credencias do usuário (Preciso montar um LAB para simular isso).

    Por favor, tente manter a versão mais atual do SMB Client nas estações com Windows 7 e teste novamente.

    Por favor, me enforme também a versão do S.O do seu servidor de arquivos.

    Abaixo alguns links interessantes:

    Top 10 problemas em Trust Acces => https://blogs.technet.microsoft.com/askpfeplat/2017/02/13/top-ten-issues-with-active-directory-trusts-and-corporate-mergers/

    Como habilitar e desabilitar o SMB => https://support.microsoft.com/en-gb/help/2696547/how-to-detect-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and

    Por favor, não esqueça de votar como útil e/ou marque como resposta.


    Fabiano Fernandes da Silva | Analista de Infraestrutura | MCSE, MCSA, MCITP, MCTS, MCP, VCP, ITIL

    • Marcado como Resposta Tiago Zambelli sábado, 16 de fevereiro de 2019 16:43
    sábado, 16 de fevereiro de 2019 14:04
  • Alexandre, 

    Sim, isso é fato, vi aqui em outros fóruns com um senário parecido com o seu, que o acesso via IP ocorre normalmente.

    A solução ainda está relacionada com o SMB, que faz uma resolução de nome independente do seu DNS client, e consequentemente o nome do servidor não é formatado corretamente no ticket kerberos.

    No link abaixo tem a solução para este BUG, tente em seu ambiente e me retorne, por favor, pois acredito que estamos perto da solução:

    https://support.microsoft.com/en-us/help/3181029/smb-file-server-share-access-is-unsuccessful-through-dns-cname-alias

    Sugiro também configurar seu DNS como na imagem abaixo:

    Referencia => https://blogs.technet.microsoft.com/askpfeplat/2017/02/13/top-ten-issues-with-active-directory-trusts-and-corporate-mergers/

    Por favor, não esqueça de votar como útil e/ou marque como resposta.


    Fabiano Fernandes da Silva | Analista de Infraestrutura | MCSE, MCSA, MCITP, MCTS, MCP, VCP, ITIL

    • Marcado como Resposta Tiago Zambelli sábado, 16 de fevereiro de 2019 16:43
    sábado, 16 de fevereiro de 2019 15:05

Todas as Respostas

  • Tiago, boa noite!

    Qual é a versão do Sistema Operacional dos Domínios A e B?

    Qual é o nível de funcionalidade do domínio?

    Por favor, não esqueça de votar como útil e/ou marque como resposta.


    Fabiano Fernandes da Silva | Analista de Infraestrutura | MCSE, MCSA, MCITP, MCTS, MCP, VCP, ITIL

    quinta-feira, 14 de fevereiro de 2019 22:31
  • Domínio A - DCs Windows 2012R2 - Level Floresta/Domínio: Windows 2008

    Domínio B - DCs Windows 2016 - Level Floresta: Windows 2012R2 / Domínio: Windows 2016

    Domínio B é um domínio filho

    quinta-feira, 14 de fevereiro de 2019 22:44
  • Tiago, boa noite!

    Você checou se as configurações da "Default Domain Policy" e "Default Domain Controller Policy" entre os domínios A e B estão diferentes? Pois pode haver algum protocolo, como de autenticação (Kerberos, NTLMv2)por exemplo, diferentes nas politicas.

    Verificou se há algum erro registrado no Event Viewer das estações com Windows 7?

    Por favor, não esqueça de votar como útil e/ou marque como resposta.


    Fabiano Fernandes da Silva | Analista de Infraestrutura | MCSE, MCSA, MCITP, MCTS, MCP, VCP, ITIL

    sexta-feira, 15 de fevereiro de 2019 02:40
  • Verificamos a policy e event viewer nada de anormal ou com log de erro.

    sexta-feira, 15 de fevereiro de 2019 17:53
  • Qual a quantidade de estações com Windows 7?

    É viável retirá-las e reingressá-las no domínio novamente? Já fez este teste?

    Por favor, não esqueça de votar como útil e/ou marque como resposta. 


    Fabiano Fernandes da Silva | Analista de Infraestrutura | MCSE, MCSA, MCITP, MCTS, MCP, VCP, ITIL

    sexta-feira, 15 de fevereiro de 2019 18:32
  • Aproximadamente 100 maquinas com windows 7, e sim, já fizemos isso com 3 maquinas e não obtivemos sucesso, ao acessar o servidor de arquivos no domínio antigo solicita autenticação.
    sexta-feira, 15 de fevereiro de 2019 20:39
  • Tiago, boa noite!

    As máquinas do domínio novo estão resolvendo o nome do domínio antigo, inclusive do File Server?

    As permissões NTFS no servidor de arquivos estão usando a estratégia "A G DL P" e/ou "A G U DL P"?

    Os usuários que do Windows 10, ao utilizar estações com Windows 7, conseguem acessar o servidor de arquivos no domínio antigo?

    Por favor, não esqueça de votar como útil e/ou marque como resposta.


    Fabiano Fernandes da Silva | Analista de Infraestrutura | MCSE, MCSA, MCITP, MCTS, MCP, VCP, ITIL

    sexta-feira, 15 de fevereiro de 2019 21:10
  • SID History foi habilitado ?

    https://blog.thesysadmins.co.uk/admt-series-3-sid-history.html


    "Se eu tivesse oito horas para derrubar uma árvore passaria seis afiando meu machado". Abraham Lincoln

    sexta-feira, 15 de fevereiro de 2019 23:46
    Moderador
  • As maquinas do domínio novo conseguem resolver o nome do domínio antigo.

    As permissões estão corretas e revisadas.

    Quando os usuários logam no Windows 10 conseguem acessar, quando eles logam no windows 7 solicita as credenciais para acessar servidor de arquivos, impressão e etc. Porem depois que você inseri as credenciais conseguem acessar, porem se faz logoff ou reinicia precisa ficar incluindo as credenciais.

    sábado, 16 de fevereiro de 2019 13:02
  • Sim, migramos com o SID History.
    sábado, 16 de fevereiro de 2019 13:03
  • Tiago, bom dia!

    Consegue responder as questões abaixo:

    As máquinas do domínio novo estão resolvendo o nome do domínio antigo, inclusive do File Server?

    As permissões NTFS no servidor de arquivos estão usando a estratégia "A G DL P" e/ou "A G U DL P"?

    Os usuários do Windows 10, ao utilizar estações com Windows 7, conseguem acessar o servidor de arquivos no domínio antigo?

    Por favor, não esqueça de votar como útil e/ou marque como resposta.


    Fabiano Fernandes da Silva | Analista de Infraestrutura | MCSE, MCSA, MCITP, MCTS, MCP, VCP, ITIL

    sábado, 16 de fevereiro de 2019 13:10
  • As máquinas do domínio novo estão resolvendo o nome do domínio antigo, inclusive do File Server?As maquinas do domínio novo conseguem resolver o nome do domínio antigo.

    As permissões NTFS no servidor de arquivos estão usando a estratégia "A G DL P" e/ou "A G U DL P"?As permissões estão corretas e revisadas.

    Os usuários do Windows 10, ao utilizar estações com Windows 7, conseguem acessar o servidor de arquivos no domínio antigo?

    Quando os usuários logam no Windows 10 conseguem acessar, quando eles logam no windows 7 solicita as credenciais para acessar servidor de arquivos, impressão e etc. Porem depois que você inseri as credenciais conseguem acessar, porem se faz logoff ou reinicia precisa ficar incluindo as credenciais.

    sábado, 16 de fevereiro de 2019 13:13
  • Tiago, boa tarde!

    É possível que devido a versão do SMB client do Windows 7, o ticket kerberos não esteja sendo sendo formatado corretamente, levando a solicitação das credencias do usuário (Preciso montar um LAB para simular isso).

    Por favor, tente manter a versão mais atual do SMB Client nas estações com Windows 7 e teste novamente.

    Por favor, me enforme também a versão do S.O do seu servidor de arquivos.

    Abaixo alguns links interessantes:

    Top 10 problemas em Trust Acces => https://blogs.technet.microsoft.com/askpfeplat/2017/02/13/top-ten-issues-with-active-directory-trusts-and-corporate-mergers/

    Como habilitar e desabilitar o SMB => https://support.microsoft.com/en-gb/help/2696547/how-to-detect-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and

    Por favor, não esqueça de votar como útil e/ou marque como resposta.


    Fabiano Fernandes da Silva | Analista de Infraestrutura | MCSE, MCSA, MCITP, MCTS, MCP, VCP, ITIL

    • Marcado como Resposta Tiago Zambelli sábado, 16 de fevereiro de 2019 16:43
    sábado, 16 de fevereiro de 2019 14:04
  • Fabiano,

    Algo interessante, eu consigo resolver os nomes de qualquer recurso no domino antigo por nome sem problemas, porem como dito para acessar qualquer recurso solicita autenticação, porem se eu tento por IP acessa diretamente o recurso pelas windows 7.

    sábado, 16 de fevereiro de 2019 14:42
  • Alexandre, 

    Sim, isso é fato, vi aqui em outros fóruns com um senário parecido com o seu, que o acesso via IP ocorre normalmente.

    A solução ainda está relacionada com o SMB, que faz uma resolução de nome independente do seu DNS client, e consequentemente o nome do servidor não é formatado corretamente no ticket kerberos.

    No link abaixo tem a solução para este BUG, tente em seu ambiente e me retorne, por favor, pois acredito que estamos perto da solução:

    https://support.microsoft.com/en-us/help/3181029/smb-file-server-share-access-is-unsuccessful-through-dns-cname-alias

    Sugiro também configurar seu DNS como na imagem abaixo:

    Referencia => https://blogs.technet.microsoft.com/askpfeplat/2017/02/13/top-ten-issues-with-active-directory-trusts-and-corporate-mergers/

    Por favor, não esqueça de votar como útil e/ou marque como resposta.


    Fabiano Fernandes da Silva | Analista de Infraestrutura | MCSE, MCSA, MCITP, MCTS, MCP, VCP, ITIL

    • Marcado como Resposta Tiago Zambelli sábado, 16 de fevereiro de 2019 16:43
    sábado, 16 de fevereiro de 2019 15:05
  • Tiago, 

    Encontrei mais duas possível solução para seu caso:

    1 - Limpe o CSC Cache (Alguma informação do domínio antigo fica salva aqui) => 

    https://support.microsoft.com/en-us/help/230738/how-to-re-initialize-the-offline-files-cache-and-database-in-windows-x  

    https://social.technet.microsoft.com/Forums/en-US/24346edb-80ed-49a7-b7b5-aecebff7b725/how-to-delete-the-offline-file-cache-or-reset-the-offline-file-cache-in-windows-10?forum=win10itpronetworking

    2 - Tente desabilitar o IPv6 => 

    https://social.technet.microsoft.com/Forums/en-US/5ec43d05-6384-4220-8762-92a3603401cc/can-only-access-home-shared-folder-using-ip-address?forum=winservergen

    Por favor, não esqueça de votar como útil e/ou marque como resposta.


    Fabiano Fernandes da Silva | Analista de Infraestrutura | MCSE, MCSA, MCITP, MCTS, MCP, VCP, ITIL

    sábado, 16 de fevereiro de 2019 15:21
  • Obrigado a Todos!

    Criei um registro tipo A no servidor DNS no domínio novo com nome e IP do servidor de arquivos e as maquinas com windows 7 já estão acessando, assim que possível terminaremos de migrar os outros servidores assim não terá mais problema.

    sábado, 16 de fevereiro de 2019 16:46