none
Не переносятся sid's с помощью ADMT 3.2

    Вопрос

  • Пытаюсь мигрировать с w2k3r2 на w2k8 r2, все отлично сделал трасты,  каждом контроллере сделал ключ реестра:

    HKLM\System\CurrentControlSet\Services\Netlogon\Parameters

    ключ : AllowNT4Crypto 
    тип: REG_DWORD
    значение: 1. 

    Включил политики аудита, выключил фильтрацию сидов.

    Начинаю перетаскивать учетку, если стоит галка “Migrate user SIDs to target domain", то получаю ошибку "Could not verify auditing and TcpipClientSupport on domainsWill not be able to migrate Sid's.The specified domain either does not exist or could not be contacted"

    Если галки не стоит, учетка мигрирует, но сид у нее не такой какой был в домене источнике.

    Параметры реестра TcpipClientSupport со значением 1 создал, т.к. их небыло.

    Что делать, что я упустил?

    13 августа 2012 г. 16:18

Ответы

  • На PDC эмуляторе исходного домена параметр TcpipClientSupport создавался?

    Проверьте еще раз по гайду. Там всего 3 шага в Configuring the Source and Target Domains for SID History Migration.



    • Изменено Sergey Pavlov 14 августа 2012 г. 8:44
    • Помечено в качестве ответа Alexey Bukatov 15 августа 2012 г. 6:51
    14 августа 2012 г. 8:42
  • По мануалу и делал. Проверил еще раз, все как написано.  Даже не знаю куда копать уже.

    Давайте начнем копать.

    1. Проверка доступности PDC домена OLD с DC01 (я использую обозначения доменов и контроллеров из журнала ADMT, который Вы тут выложили выше, если Вы там заменили имена, то подставьте в команды правильные имена взамен указнных мной):

    Скопируйте сюда результат команды на DC01

    nltest /dsgetdc:old.local /pdc

    2. Проверка политики аудита в исходном домене:

    Раздел "Политики аудита" из выдачи команды на DC0

    gpresult /v /scope computer

    3. Проверка политики аудита в домене-приемнике:

    Результат команды на DC01

    auditpol /get /category:*


    Слава России!



    • Изменено M.V.V. _ 14 августа 2012 г. 13:25
    • Помечено в качестве ответа Alexey Bukatov 15 августа 2012 г. 6:50
    14 августа 2012 г. 13:23

Все ответы

  • А в каких группах состоит учетка, из под которой запускаете ADMT в домене источнике и в домене приемнике?
    14 августа 2012 г. 3:17
    Отвечающий
  • ADMT запускаю из под учетки домена источника, которая имеет админские полномочия.
    14 августа 2012 г. 5:02
  • ADMT запускаю из под учетки домена источника, которая имеет админские полномочия.

    В каких группах?
    14 августа 2012 г. 5:11
    Отвечающий
  • В группе Domain Admins, Schema Admins, Enterprise Admins.

    P.S.

    Но на новом контроллере я логинюсь под учеткой из старого. Соответственно и запускаю ADMT

    14 августа 2012 г. 5:20
  • В группе Domain Admins, Schema Admins, Enterprise Admins.

    P.S.

    Но на новом контроллере я логинюсь под учеткой из старого. Соответственно и запускаю ADMT

    Для миграции учеток и SID-History попробуйте создать пользователя домен_приемник\user

    И включить его в группы домен_приемник\domain admins и домен_источник\administrators

    14 августа 2012 г. 5:23
    Отвечающий
  • Сделал, проблема осталась.
    14 августа 2012 г. 5:38
  • А вы включили поддержку SID-History?

    netdom trust имя_домена_источника /domain:имя_домена_приемника /enablesidhistory:yes

    14 августа 2012 г. 5:44
    Отвечающий
  • да, включена на обоих контроллерах
    14 августа 2012 г. 5:50
  • да, включена на обоих контроллерах

    Что значит "на обоих контроллерах"? Поддержка SID-History включается для доверия.
    14 августа 2012 г. 5:59
    Отвечающий
  • команду выполнил на обоих контроллерах домена.
    14 августа 2012 г. 7:03
  • Покажите лог миграции, когда включена поддержка SID-History
    14 августа 2012 г. 7:24
    Отвечающий

  • [Settings Section]
    Task: User Migration (35)
    ADMT Console
        User:       new\adm
        Computer:   dc01.new.local (DC01)
            Domain:     new.local (new)
            OS:         Windows Server 2008 R2 Enterprise 6.1 (7600) 
    Source Domain
        Name:   old.local (old)
        DC:     dc0.old.local (DC0)
            OS:     Windows Server 2003 5.2 (3790) Service Pack 2
        OU:     
    Target Domain
        Name:   new.local (new)
        DC:     dc01.new.local (DC01)
            OS:     Windows Server 2008 R2 Enterprise 6.1 (7600) 
        OU:     LDAP://new.local/CN=Users,DC=new,DC=local
    Intra-Forest: No
    Password Option:        Copy passwords, only for new objects = No
    Password Export Server: dc0.old.local
    Migrate Security Identifiers: No
    Update Rights: No
    Translate Roaming Profiles: No
    Fix group membership: Yes
    Conflict Option: Ignore
    Source Disable Option: Leave source account
    Source Expiration: Do not expire source account
    Target Disable Option: Set target same as source
    Migrate groups: No
    Migrate service accounts: Yes

    [Object Migration Section]
    2012-08-14 11:33:42 Starting Account Replicator.
    2012-08-14 11:33:44 CN=Серегин Сергей    - Created
    2012-08-14 11:33:45 WRN1:7561 ADMT could not migrate some properties for this object type (user) due to schema mismatches.  Please refer to the Schema Section in the migration log for a complete listing.  The Schema Section will be available once object migration is complete.
    2012-08-14 11:33:45 WRN1:7857 Could not copy following properties for 'CN=Серегин Сергей'.
    2012-08-14 11:33:45 showInAddressBook = CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=new,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=old,DC=local, ...  A constraint violation occurred.
    2012-08-14 11:33:56 WRN1:7873 Disabled the "user cannot change password" account option for account 'CN=Серегин Сергей'.
    2012-08-14 11:33:56   CN=Серегин Сергей    - Password Copied.
    2012-08-14 11:33:56 WRN1:7874 Disabled the "password never expires" account option for account 'CN=Серегин Сергей'.
    2012-08-14 11:33:57 Operation completed.
    14 августа 2012 г. 7:36

  • [Settings Section]
    Task: User Migration (35)
    ADMT Console
        User:       new\adm
        Computer:   dc01.new.local (DC01)
            Domain:     new.local (new)
            OS:         Windows Server 2008 R2 Enterprise 6.1 (7600) 
    Source Domain
        Name:   old.local (old)
        DC:     dc0.old.local (DC0)
            OS:     Windows Server 2003 5.2 (3790) Service Pack 2
        OU:     
    Target Domain
        Name:   new.local (new)
        DC:     dc01.new.local (DC01)
            OS:     Windows Server 2008 R2 Enterprise 6.1 (7600) 
        OU:     LDAP://new.local/CN=Users,DC=new,DC=local
    Intra-Forest: No
    Password Option:        Copy passwords, only for new objects = No
    Password Export Server: dc0.old.local
    Migrate Security Identifiers: No
    Update Rights: No
    Translate Roaming Profiles: No
    Fix group membership: Yes
    Conflict Option: Ignore
    Source Disable Option: Leave source account
    Source Expiration: Do not expire source account
    Target Disable Option: Set target same as source
    Migrate groups: No
    Migrate service accounts: Yes

    [Object Migration Section]
    2012-08-14 11:33:42 Starting Account Replicator.
    2012-08-14 11:33:44 CN=Серегин Сергей    - Created
    2012-08-14 11:33:45 WRN1:7561 ADMT could not migrate some properties for this object type (user) due to schema mismatches.  Please refer to the Schema Section in the migration log for a complete listing.  The Schema Section will be available once object migration is complete.
    2012-08-14 11:33:45 WRN1:7857 Could not copy following properties for 'CN=Серегин Сергей'.
    2012-08-14 11:33:45 showInAddressBook = CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=new,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=old,DC=local, ...  A constraint violation occurred.
    2012-08-14 11:33:56 WRN1:7873 Disabled the "user cannot change password" account option for account 'CN=Серегин Сергей'.
    2012-08-14 11:33:56   CN=Серегин Сергей    - Password Copied.
    2012-08-14 11:33:56 WRN1:7874 Disabled the "password never expires" account option for account 'CN=Серегин Сергей'.
    2012-08-14 11:33:57 Operation completed.
    Получаю такой лог если пропустить ошибку "Migrate user SIDs to target domain", то получаю ошибку "Could not verify auditing and TcpipClientSupport on domainsWill not be able to migrate Sid's.The specified domain either does not exist or could not be contacted"
    14 августа 2012 г. 7:37
  • Migrate Security Identifiers: No

    Наверное не так выразился, лог миграции, при установленной галке "мигрировать SID"

    14 августа 2012 г. 7:39
    Отвечающий
  • Migrate Security Identifiers: No

    Наверное не так выразился, лог миграции, при установленной галке "мигрировать SID"

    Так в этом и проблема. Что при стоящей галке "Migrate user SIDs to target domain" получаю ошибку "Could not verify auditing and TcpipClientSupport on domainsWill not be able to migrate Sid's.The specified domain either does not exist or could not be contacted", после чего галку сбрасывает и начинается миграция без нее, соответственно без переноса сида в новый домен.
    14 августа 2012 г. 8:02
  • В исходном домене локальная группа SourceDomain$$$ есть?
    14 августа 2012 г. 8:03
  • В исходном домене локальная группа SourceDomain$$$ есть?
    Группы нет. Сейчас создам, попробую..
    14 августа 2012 г. 8:13
  • Где SourceDomain - NetBIOS имя домена...
    14 августа 2012 г. 8:19
  • Где SourceDomain - NetBIOS имя домена...
    Создал, проблема осталась.
    14 августа 2012 г. 8:29
  • На PDC эмуляторе исходного домена параметр TcpipClientSupport создавался?

    Проверьте еще раз по гайду. Там всего 3 шага в Configuring the Source and Target Domains for SID History Migration.



    • Изменено Sergey Pavlov 14 августа 2012 г. 8:44
    • Помечено в качестве ответа Alexey Bukatov 15 августа 2012 г. 6:51
    14 августа 2012 г. 8:42
  • На PDC эмуляторе исходного домена параметр TcpipClientSupport создавался?

    Проверьте еще раз по гайду. Там всего 3 шага в Configuring the Source and Target Domains for SID History Migration.



    По мануалу и делал. Проверил еще раз, все как написано.  Даже не знаю куда копать уже. Параметр создавался.
    14 августа 2012 г. 9:13
  • Пытаюсь мигрировать с w2k3r2 на w2k8 r2, все отлично сделал трасты,  каждом контроллере сделал ключ реестра:

    HKLM\System\CurrentControlSet\Services\Netlogon\Parameters

    ключ : AllowNT4Crypto 
    тип: REG_DWORD
    значение: 1. 

    Что делать, что я упустил?

    А вы перезагружали контроллеры после этого? Группу, как Сергей подсказал, Локальную в домене создали? (проверьте, по умолчанию же глобальная создается.)
    14 августа 2012 г. 11:54
    Отвечающий
  • По мануалу и делал. Проверил еще раз, все как написано.  Даже не знаю куда копать уже.

    Давайте начнем копать.

    1. Проверка доступности PDC домена OLD с DC01 (я использую обозначения доменов и контроллеров из журнала ADMT, который Вы тут выложили выше, если Вы там заменили имена, то подставьте в команды правильные имена взамен указнных мной):

    Скопируйте сюда результат команды на DC01

    nltest /dsgetdc:old.local /pdc

    2. Проверка политики аудита в исходном домене:

    Раздел "Политики аудита" из выдачи команды на DC0

    gpresult /v /scope computer

    3. Проверка политики аудита в домене-приемнике:

    Результат команды на DC01

    auditpol /get /category:*


    Слава России!



    • Изменено M.V.V. _ 14 августа 2012 г. 13:25
    • Помечено в качестве ответа Alexey Bukatov 15 августа 2012 г. 6:50
    14 августа 2012 г. 13:23
  • Спасибо всем. Перегрузил контроллер исходного домена после создания группы. Все поехало. 
    15 августа 2012 г. 6:50
  • И снова здравствуйте.

    15 числа как видно из сообщения выше, перетащил пару групп и пользователей. Все прошло удачно. Сегодня решил закончить свое "черное дело" и перетащить оставшиеся учетки. И тут, проблема, описанная ранее, снова проявилась... Снова нужна помощь...

    1. Домены друг другу видны. Имена разрешаются, пинг проходит.

    nltest /dsgetdc:old.local /pdc  -> получил: Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

    2. 

    Audit Policy
    ------------
        GPO: Default Domain Controllers Policy
            Policy:            AuditPolicyChange
            Computer Setting:  Success

        GPO: Default Domain Controllers Policy
            Policy:            AuditPrivilegeUse
            Computer Setting:  No Auditing

        GPO: Default Domain Controllers Policy
            Policy:            AuditDSAccess
            Computer Setting:  Success

        GPO: Default Domain Controllers Policy
            Policy:            AuditAccountLogon
            Computer Setting:  Success

        GPO: Default Domain Controllers Policy
            Policy:            AuditObjectAccess
            Computer Setting:  No Auditing

        GPO: Default Domain Controllers Policy
            Policy:            AuditAccountManage
            Computer Setting:  Success

        GPO: Default Domain Controllers Policy
            Policy:            AuditLogonEvents
            Computer Setting:  Success

        GPO: Default Domain Controllers Policy
            Policy:            AuditProcessTracking
            Computer Setting:  No Auditing

        GPO: Default Domain Controllers Policy
            Policy:            AuditSystemEvents
            Computer Setting:  Success


    3. 

    System audit policy
    Category/Subcategory                      Setting
    System
      Security System Extension               No Auditing
      System Integrity                        Success and Failure
      IPsec Driver                            No Auditing
      Other System Events                     Success and Failure
      Security State Change                   Success
    Logon/Logoff
      Logon                                   Success and Failure
      Logoff                                  Success
      Account Lockout                         Success
      IPsec Main Mode                         No Auditing
      IPsec Quick Mode                        No Auditing
      IPsec Extended Mode                     No Auditing
      Special Logon                           Success
      Other Logon/Logoff Events               No Auditing
      Network Policy Server                   Success and Failure
    Object Access
      File System                             No Auditing
      Registry                                No Auditing
      Kernel Object                           No Auditing
      SAM                                     No Auditing
      Certification Services                  No Auditing
      Application Generated                   No Auditing
      Handle Manipulation                     No Auditing
      File Share                              No Auditing
      Filtering Platform Packet Drop          No Auditing
      Filtering Platform Connection           No Auditing
      Other Object Access Events              No Auditing
      Detailed File Share                     No Auditing
    Privilege Use
      Sensitive Privilege Use                 No Auditing
      Non Sensitive Privilege Use             No Auditing
      Other Privilege Use Events              No Auditing
    Detailed Tracking
      Process Termination                     No Auditing
      DPAPI Activity                          No Auditing
      RPC Events                              No Auditing
      Process Creation                        No Auditing
    Policy Change
      Audit Policy Change                     Success
      Authentication Policy Change            Success
      Authorization Policy Change             No Auditing
      MPSSVC Rule-Level Policy Change         No Auditing
      Filtering Platform Policy Change        No Auditing
      Other Policy Change Events              No Auditing
    Account Management
      User Account Management                 Success and Failure
      Computer Account Management             Success and Failure
      Security Group Management               Success and Failure
      Distribution Group Management           Success and Failure
      Application Group Management            Success and Failure
      Other Account Management Events         Success and Failure
    DS Access
      Directory Service Changes               Success
      Directory Service Replication           Success
      Detailed Directory Service Replication  Success
      Directory Service Access                Success
    Account Logon
      Kerberos Service Ticket Operations      Success
      Other Account Logon Events              No Auditing
      Kerberos Authentication Service         Success
      Credential Validation                   Success

    21 августа 2012 г. 13:33
  • 1. Домены друг другу видны. Имена разрешаются, пинг проходит.

    nltest /dsgetdc:old.local /pdc  -> получил: Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

    2. 

    Audit Policy

    ...

        GPO: Default Domain Controllers Policy
            Policy:            AuditAccountManage
            Computer Setting:  Success

    1. Покажите с DC01 выдачу команды 

    nltest /dnsgetdc:old.local /pdc

    а также

    nslookup -type=srv  _ldap._tcp.pdc._msdcs.old.local

    2. Согласно документации, настройки аудита управления учетными записями для успешной миграции SID  должны быть "Success, Failure". У Вас - другое значение, "Success"

    Или Вы определили политику аудита в локальной политике PDC старого домена (она доступна через gpedit.msc)? Это неправильно, надо определять этот параметр в политике OU Domain Controllers - "Default Domain Controllers Policy"


    Слава России!

    22 августа 2012 г. 13:40
  • >nltest /dnsgetdc:old.local /pdc
    The command completed successfully

    >nslookup -type=srv  _ldap._tcp.pdc._msdcs.old.local

    Server:  localhost
    Address:  127.0.0.1

    *** localhost can't find _ldap._tcp.pdc._msdcs.old.local: Non-existent domain 

    Политику аудита исправлю.
    27 августа 2012 г. 7:02