none
Миграция ADMT 3.2

    Вопрос

  • Добрый день!

    Есть домен Source.ru , из него нужно мигрировать в домен Branch.target.ru

    1) Есть прямой траст между этими доменами и есть транзитивный траст между target.ru и Source.ru

    2) Фильтрация sid отключена для доверия Source.ru - Branch.target.ru

    3) Включена sidhistory

    4) Домен Source.ru (функциональный уровень 2012R2) \ домен Branch.target.ru (функциональный уровень 2008R2)

    При миграции пользователя в домен Branch.target.ru все проходит успешно, атрибут sidhistory отображает сид из домена Source.ru.

    Доступ к терминалам и к серверам по RDP (делегируется через группы) доступен с перенесенной учеткой из домена Branch.target.ru , а доступ к шарам (доступ делегируется так-же через группы) пропадает.

    Возможно нужно отключить фильтрацию и на уровне доверия между target.ru и Source.ru ?

    Или я что-то не учел или пропустил ?

    Поделитесь мудростью господа коллеги)

    14 июля 2017 г. 6:52

Ответы

  • Добрый день!

    Есть домен Source.ru , из него нужно мигрировать в домен Branch.target.ru

    1) Есть прямой траст между этими доменами и есть транзитивный траст между target.ru и Source.ru

    2) Фильтрация sid отключена для доверия Source.ru - Branch.target.ru

    3) Включена sidhistory

    4) Домен Source.ru (функциональный уровень 2012R2) \ домен Branch.target.ru (функциональный уровень 2008R2)

    При миграции пользователя в домен Branch.target.ru все проходит успешно, атрибут sidhistory отображает сид из домена Source.ru.

    Доступ к терминалам и к серверам по RDP (делегируется через группы) доступен с перенесенной учеткой из домена Branch.target.ru , а доступ к шарам (доступ делегируется так-же через группы) пропадает.

    Возможно нужно отключить фильтрацию и на уровне доверия между target.ru и Source.ru ?

    Или я что-то не учел или пропустил ?

    Поделитесь мудростью господа коллеги)

    Да, нужно отключить фильтрацию SID на межлесном доверии source.ru - target.ru.

    Потому что при доступе к общим папкам предпочтительной явлется аутентификация по Kerberos (выбор способа аутентификации делает клиент), а наличие межлесного доверия делает её возможной. Путь аутентификации при этом идёт через отношения доверия branch.target.ru <-(доверие внутри леса) target.ru <-(межлесное доверие)source.ru, и внешнее доверие branch.target.ru <- source.ru не используется (т.к. через внешнее доверие аутентификация по Kerberos невозможна).

    Чтобы убедиться, что проблема - именно из-за Kerberos, можете попрробовать обратиться к общим папкам через IP сервера вместо имени сервера: в таком сценарии аутентификация Kerberos не используется.

    PS Для отключения фильтрации SID, насколько я помню, используется другой ключ команды netdom: не /quarantine:NO , а /EnableSIDHistory:YES.


    Слава России!

    • Помечено в качестве ответа limfer 14 июля 2017 г. 11:36
    14 июля 2017 г. 9:35

Все ответы

  • К шарам доступ как выполняете, через \\имясервера или \\имясервера.домен?

    Группы-то у Вас что для файлообмена, что для удаленного доступа одни и теже, без волшебства.

    Только сперва группы мигрируются, а затем пользователи, для того чтобы членство сохранить групп.

    14 июля 2017 г. 7:09
  • Доступ пробовал по всякому (и локально и по dfs ), днс суффиксы порезаны, группы тоже мигрировал в которых состоит этот пользователь.
    14 июля 2017 г. 7:37
  • Добрый день!

    Есть домен Source.ru , из него нужно мигрировать в домен Branch.target.ru

    1) Есть прямой траст между этими доменами и есть транзитивный траст между target.ru и Source.ru

    2) Фильтрация sid отключена для доверия Source.ru - Branch.target.ru

    3) Включена sidhistory

    4) Домен Source.ru (функциональный уровень 2012R2) \ домен Branch.target.ru (функциональный уровень 2008R2)

    При миграции пользователя в домен Branch.target.ru все проходит успешно, атрибут sidhistory отображает сид из домена Source.ru.

    Доступ к терминалам и к серверам по RDP (делегируется через группы) доступен с перенесенной учеткой из домена Branch.target.ru , а доступ к шарам (доступ делегируется так-же через группы) пропадает.

    Возможно нужно отключить фильтрацию и на уровне доверия между target.ru и Source.ru ?

    Или я что-то не учел или пропустил ?

    Поделитесь мудростью господа коллеги)

    Да, нужно отключить фильтрацию SID на межлесном доверии source.ru - target.ru.

    Потому что при доступе к общим папкам предпочтительной явлется аутентификация по Kerberos (выбор способа аутентификации делает клиент), а наличие межлесного доверия делает её возможной. Путь аутентификации при этом идёт через отношения доверия branch.target.ru <-(доверие внутри леса) target.ru <-(межлесное доверие)source.ru, и внешнее доверие branch.target.ru <- source.ru не используется (т.к. через внешнее доверие аутентификация по Kerberos невозможна).

    Чтобы убедиться, что проблема - именно из-за Kerberos, можете попрробовать обратиться к общим папкам через IP сервера вместо имени сервера: в таком сценарии аутентификация Kerberos не используется.

    PS Для отключения фильтрации SID, насколько я помню, используется другой ключ команды netdom: не /quarantine:NO , а /EnableSIDHistory:YES.


    Слава России!

    • Помечено в качестве ответа limfer 14 июля 2017 г. 11:36
    14 июля 2017 г. 9:35
  • Действительно проблема была в этом. Спасибо за информацию!)
    14 июля 2017 г. 11:37