none
Проблемы при миграции группы RRS feed

  • Вопрос

  • Добрый день, Коллеги !

    Прошу совет.

    Имеются два домена, source и target. Домен source является доменом 3-го уровня. Пусть будет source.domain.local.

    В целевом домене target.local работают два КД, dc1 и dc2.

    Настроили внешние доверительные отношения между доменами (source.domain.local и target.local).
    Политикой организации, которая управляет исходным доменом - нам запрещено создавать доверительные отношения между лесами.

    Отключили фильтрацию SID и включили SID History на обоих КД (dc1.source.domain.local, dc1.target.local).

    Установили PES на исходном КД, службу запустили от учетной записи target/admt (администратор домена). Группа "target\domain admins" входит в группу "source\administrators".

    В исходном домене, при настройке делегирования управления для группы "target\domain admins" у подразделения - не нашли параметр "Migrate SID History". Выбрали все, что было в "This folder, existing objects in this folder, and creation of new objects in this folder - General".

    Я завел на исходном КД группу test_mig2 и пытаюсь ее мигрировать с сохранением SID.

    При первом запуске, ADMT - создал группу source$$$ в исходном домене. 

    Процесс миграции запускаю от имени target/admt.

    Выходит следующее:

    2018-12-10 14:48:55 ERR2:7400 Failed to add SidHistory for test_mig2 to test_mig2. Source account is a BUILTIN account or an account with well known RID.

    Спасибо ! Всем хорошего дня !


    • Изменено Evgeniy Aryutin 10 декабря 2018 г. 12:16 Не верно указал тему
    10 декабря 2018 г. 12:14

Ответы

  • Добрый вечер, Коллеги !

    Тестируем миграцию на группах.

    Миграция прошла успешно после того, как админы исходного домена добавили учетку целевого в группу администраторов домена.

    До этого развернул тестовый стенд на виртуальных машинах, развернул два домена. В исходном домене делегировал права учетке целевого, опираясь на следующий пост: https://social.technet.microsoft.com/Forums/ru-RU/eb56fc29-52d4-45c5-83fd-3ccbbb6ba851/-sid-history-admt-v31-migrate?forum=ws2008r2ru#e453a6ed-0153-44e4-8d49-71cd7e90622e. 

    На "боевом" контроллере, в исходном домене не нашел параметр Migrate SID History. С правами администратора домена sid мигрируется. Проблема заключается в том, что права администратора домена коллеги не всегда могут предоставить.

    Исходный лес работает в режиме Windows Server 2012 R2

    Тестовый стенд работал в режиме Windows Server 2016

    Спасибо !

     
    13 декабря 2018 г. 15:07

Все ответы

  • Привет,

    Проверьте с помощью PS команды, что SID фильтрация выключена:

    (Get-ADForest).Domains | ForEach-Object {
    
    $Domain = $_ 
    
    Get-ADTrust -Filter * -Server $Domain | ForEach-Object {
    
    if (($_.ForestTransitive) -and ($_.SIDFilteringForestAware)) {
    
    Write-Output "FOREST_TRUST: sID Filtering is disabled on trustedDomain object '$($_.DistinguishedName)' in $Domain"
    
    }
    
    elseif ((-not ($_.ForestTransitive)) -and (-not ($_.SIDFilteringQuarantined)) -and (-not ($_.IntraForest))) {
    
    Write-Output "EXTERNAL_TRUST: sID Filtering is disabled on trustedDomain object '$($_.DistinguishedName)' in $Domain" 
    
    }
    
    }
    
    }
    

    Посмотрите и обсуждение внизу:

    Problems with SID history across forest trust


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    11 декабря 2018 г. 11:12
    Модератор
  • Привет ! Спасибо за скрипт. 

    Результат в обоих доменах следующий:

    EXTERNAL_TRUST: sID Filtering is disabled on trustedDomain object 'CN=source.domain.local,CN=System,DC=source,DC=local' in target.local

    EXTERNAL_TRUST: sID Filtering is disabled on trustedDomain object 'CN=target.local,CN=System,DC=source,DC=domain,DC=local' in source.domain.local

    11 декабря 2018 г. 15:57
  • ммм... Source account is a BUILTIN account or an account with well known RID.

    покажите:

    wmic useraccount where (name='test_mig2' and domain='source') get name,sid


    • Изменено Svolotch 11 декабря 2018 г. 19:55
    11 декабря 2018 г. 19:50
  • Добрый вечер, Коллеги !

    Тестируем миграцию на группах.

    Миграция прошла успешно после того, как админы исходного домена добавили учетку целевого в группу администраторов домена.

    До этого развернул тестовый стенд на виртуальных машинах, развернул два домена. В исходном домене делегировал права учетке целевого, опираясь на следующий пост: https://social.technet.microsoft.com/Forums/ru-RU/eb56fc29-52d4-45c5-83fd-3ccbbb6ba851/-sid-history-admt-v31-migrate?forum=ws2008r2ru#e453a6ed-0153-44e4-8d49-71cd7e90622e. 

    На "боевом" контроллере, в исходном домене не нашел параметр Migrate SID History. С правами администратора домена sid мигрируется. Проблема заключается в том, что права администратора домена коллеги не всегда могут предоставить.

    Исходный лес работает в режиме Windows Server 2012 R2

    Тестовый стенд работал в режиме Windows Server 2016

    Спасибо !

     
    13 декабря 2018 г. 15:07
  • Добрый вечер, Коллеги !

    Тестируем миграцию на группах.

    Миграция прошла успешно после того, как админы исходного домена добавили учетку целевого в группу администраторов домена.

    До этого развернул тестовый стенд на виртуальных машинах, развернул два домена. В исходном домене делегировал права учетке целевого, опираясь на следующий пост: https://social.technet.microsoft.com/Forums/ru-RU/eb56fc29-52d4-45c5-83fd-3ccbbb6ba851/-sid-history-admt-v31-migrate?forum=ws2008r2ru#e453a6ed-0153-44e4-8d49-71cd7e90622e. 

    На "боевом" контроллере, в исходном домене не нашел параметр Migrate SID History. С правами администратора домена sid мигрируется. Проблема заключается в том, что права администратора домена коллеги не всегда могут предоставить.

    Исходный лес работает в режиме Windows Server 2012 R2

    Тестовый стенд работал в режиме Windows Server 2016

    Спасибо !

     
    Проблема с миграцией SID решена. Всем спасибо.
    25 декабря 2018 г. 12:36