none
windows server 2016 AD 无法执行netdom trust命令 RRS feed

  • 问题

  • 您好

       源:contoso.com

       目的域:wiki.com

      建立域和信任关系连接,现在把contoso.com下面的共享服务器通过admt迁移到wiki.com了,源contoso下的账户无法访问这台服务器,通过其它渠道获得是因为两地之间启用SID Filtering,现在通过命令想看SID 状态缺无法执行,命令参考:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/ee791773(v=ws.10)?redirectedfrom=MSDN

    2020年11月10日 6:25

答案

  • 尊敬的客户,您好!

    不知道是不是环境的问题。我当时是按照下面这个文档搭的环境(SQL 用的是SQL2017)。

    ADMT Series – 1. Preparing Active Directory
    https://blog.thesysadmins.co.uk/admt-series-1-preparing-active-directory.html

    上面的连接,文章后面还有其他的章节。
    ADMT Series – 1. Preparing Active Directory
    ADMT Series – 2. Preparing the ADMT Machine
    ADMT Series – 3. SID History
    ADMT Series – 4. Password Export Server
    ADMT Series – 5. Machine Preparation
    ADMT Series – 6. Service Account Migration Wizard
    ADMT Series – 7. Group Account Migration Wizard
    ADMT Series – 8. User Account Migration Wizard
    ADMT Series – 9. Merging Users with a Different sAMAccountName
    ADMT Series – 10. Security Translation Wizard – Local Profiles
    ADMT Series – 11. Computer Migration Wizard



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Tony Mu 2020年11月24日 10:15
    2020年11月24日 9:42
    版主

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据您的描述,我在我的测试环境中,查看都是没有启用的。

    我在源域的域控制器上查看,结果如下(使用其中一个命令就可以了):
    netdom trust a.com /domain: fabrikam.com /quarantine /userD: A\administrator /passwordD: 1
    netdom trust fabrikam.com /domain: a.com /quarantine /userD: A\administrator /passwordD: 1

    我在目标域的域控制器上查看,结果如下(使用其中一个命令就可以了):
    netdom trust a.com /domain: fabrikam.com /quarantine /userD: A\administrator /passwordD: 1
    netdom trust fabrikam.com /domain: a.com /quarantine /userD: A\administrator /passwordD: 1

    我在目标域的ADMT服务器上查看,结果如下(使用其中一个命令就可以了):
    netdom trust a.com /domain: fabrikam.com /quarantine /userD: A\administrator /passwordD: 1
    netdom trust fabrikam.com /domain: a.com /quarantine /userD: A\administrator /passwordD: 1


    1.我觉得您的PS命令需要以管理员身份运行。
    2.您的命令使用的不对,quarantine后面多加了yes或者no.
    netdom trust a.com /domain: fabrikam.com /quarantine /userD: A\administrator /passwordD: 1

    您尝试我的命令看下是否可以检查您环境的SID filtering是否禁用的或者启用的状态。
    您可以根据需要使用以下的命令禁用或者启用SID filtering.

    停用或者启用用于域信任的SID filtering:
    Netdom trust <TrustingDomainName> /domain:<TrustedDomainName> /quarantine:No
    Netdom trust <TrustingDomainName> /domain:<TrustedDomainName> /quarantine:Yes

    停用或者启用用于林信任的SID filtering:
    Netdom trust <TrustingDomainName> /domain:<TrustedDomainName> /enablesidhistory:No
    Netdom trust <TrustingDomainName> /domain:<TrustedDomainName> /enablesidhistory:Yes

    提示:“yes”禁用SID过滤器,“no”激活它。

    希望上述的回复,对您有帮助,如有任何疑问,欢迎您随时咨询我们。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月10日 7:54
    版主
  •  我是以管理员方式运行的powershell,另外激活它就是提示拒绝访问
    2020年11月10日 8:43
  • 尊敬的客户,您好!

    感谢您的回复。

    我在我的测试环境中试了一下上面的命令,都是可以正常启用和禁用SID filtering的。我是用的账号是内置的域管理员账号Domain\Administrator.

    请问您的账号是Active Directory Domain Services (AD DS)里Domain Admins or Enterprise Admins的成员吗?


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月10日 9:32
    版主
  • 源和目标我也都是用domain\administrator这个账户执行的。这就比较奇怪了,新环境。
    2020年11月10日 11:27
  • 尊敬的客户,您好!

    感谢您的回复。

    我看您第二次回复中的命令不对(如下)。


    您可以试试如下的命令:
    Netdom trust wiki.com /domain:contoso.com /quarantine:No
    Netdom trust contoso.com /domain:wiki.com /quarantine:Yes


    如果还是不行的话,我的测试环境是双向林信任的关系。

    请问您也是双向的林信任(或者双向的域信任关系)关系吗?如果是的话,您需要把添加以下的权限:
    把源目录林中的Administrator账号添加到目标林里的Administrators组,以获取适当的权限。
    反之亦然,把目标目录林中的Administrator账号添加到源林里的Administrators组,以获取适当的权限。

    然后在尝试您的命令,看是否可以正常。

    希望上述的回复对您有帮助。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月11日 2:24
    版主
  • 您好Daisy

       在两个域的ADCU的Builtin的Administrators里面有各地的administrator管理员,两个是林信任关系,执行完命令结果如下图

    2020年11月11日 3:01
  • 尊敬的客户,您好!

    我在测试环境中发现了如下的规律,我觉得这个应该是正常的。
    您可以按照我的方法运行命令试试,如果跟我一样的,那应该没有问题。

    我的域名分别是:
    fabrikam.com
    a.com

    他们有双向林信任的关系,我在目标域a.com里的成员服务器上安装了ADMT工具。







    希望对您有帮助。


    此致,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2020年11月11日 5:22
    版主
  • 因为是测试环境所以没激活windows服务器,跟这个有关系吗?
    2020年11月11日 6:22
  • 尊敬的客户,您好!

    跟机器是否激活没有关系的。

    您现在可以根据以上提到的命令,一个一个运行,可以吗?


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月11日 8:19
    版主
  • 按您的命令一个个试了,还是之前一样的情况,这是语言显示问题吗?我装个英文的语言包试试
    2020年11月11日 8:32
  • 尊敬的客户,您好!

    您再试试这个。

    Netdom trust a.com /domain:fabrikam /enablesidhistory:yes
    Netdom trust a.com /domain:fabrikam /enablesidhistory:no


    这个命令是针对林的设置,上面之前命令是针对域的设置。

    提示:以管理员身份运行PS,并且把对方域放在命令的前面。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2020年11月11日 9:30
    版主
  • 依旧无效
    2020年11月12日 2:07
  • 尊敬的客户,您好!

    我不确认是不是语言显示问题,我在我的测试环境安装一下中文语言包看下。

    可能有点慢,现在正在下载中,今天下班前如果好了,我就回复您。

    如果今天还没有下载好,我就等明天语言包安装好了,测试一下,回复您。

    感谢您的理解。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月12日 9:04
    版主
  • 尊敬的客户,上午好!

    我今天测试了,根据我的测试,我安装了中文语言包,有些界面确实显示中文了,但是命令的结果还是英文的。
    可能是因为我的操作系统的语言是英文的,所以即使有中文语言包,但是命令的结果还是英文的。

    但是,您可以在您的环境中做这样一个实验,目的主要是检查SID是否迁移了。

    在源域里新建两个测试用户账号(user1和user2),在源域的服务器(域控或者加域的成员服务器上,新建一个文件夹,并共享给这两个用户)。

    启用SID filtering,然后迁移user1到目标域,看是否还可以访问源域里的共享文件夹(应该是不可以的)。

    启用SID filtering:
    Netdom trust <TrustingDomainName> /domain:<TrustedDomainName> /enablesidhistory:No

    禁用SID filtering,然后迁移user2到目标域,看是否还可以访问源域里的共享文件夹(应该是可以的)。

    禁用SID filtering:
    Netdom trust <TrustingDomainName> /domain:<TrustedDomainName> /enablesidhistory:Yes

    希望上述的回复对您有帮助。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2020年11月13日 3:48
    版主
  • 迁移过来的用户不能访问之前能访问的文件夹,还是这个sid filtering不能启用导致的。还有什么课排查的吗?
    2020年11月14日 11:02
  • 尊敬的客户,您好!

    请问您是指不管使用命令启用了SID filtering以后,迁移以后的用户不能访问原来可以访问的文件夹,
    还是使用命令禁用了SID filtering以后,迁移以后的用户也不能访问原来可以访问的文件夹,
    对吗?


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月16日 1:03
    版主
  • 启用SID filtering:
    Netdom trust <TrustingDomainName> /domain:<TrustedDomainName> /enablesidhistory:No

    禁用SID filtering,然后迁移user2到目标域,看是否还可以访问源域里的共享文件夹(应该是可以的)。

    禁用SID filtering:
    Netdom trust <TrustingDomainName> /domain:<TrustedDomainName> /enablesidhistory:Yes

    我执行以上的命令没效果,其结果都一样,如之前我的截图所示,另外还发现这个启用与否直接影响到客户端计算机迁移到新域里面,domain admins这个分组会丢失,导致迁移的计算机无法用域管理员进行管理,所以这个启不启用影响挺大的

    2020年11月16日 2:41
  • 尊敬的客户,您好!

    请问您在目标域是否配置了相关的策略(例如把用户或者组从本地管理员组删除),然后应用给了这台计算机?

    请使用目标域的域管理员账号登录这台机器。
    打开CMD(以管理员身份运行)。
    输入gpresult /h C:\report.html并且按回车键。
    检查report.html里是否有相关的信息,或者策略不多的话,您可以截图给我帮您检查看下。

    请问您源域的域控和目标域的域控的操作系统版本分别是什么?
    是否配置了这个注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\TcpipClientSupport?
    REG_DWORD
    1

    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2020年11月16日 8:49
    版主
  • 源和目标域控的操作系统都是windows server 2016 standard,注册表那项没有配置如下图,同时账户迁移后在目标域的客户端里面没有是没有启用 SID filter导致见链接:https://social.technet.microsoft.com/forums/windowsserver/en-US/3e57c8e0-c605-48f6-b2e7-07226ee025d8/admt-migrated-domain-admin-accounts-lost-admin-rights-in-old-source-domain
    2020年11月17日 3:07
  • 尊敬的客户,您好!

    很抱歉才回复您。

    我在我的源域加了一个中文版本OS的域控。然后运行命令后的结果跟您一样的。
    左边显示的是同一个域里的英文OS上运行的命令
    右边显示的是同一个域里的中文OS域控上运行的命令。


    还有我在源域的成员服务器的机器上的本地管理员组加了源域的domain admins和目标域的domain admins.


    然后把这台机器从源域迁移到目标域以后,不管是使用源域的域管理员或者目标域的域管理员,登录进去看,都是有这两个组的,没有消失。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月19日 9:29
    版主
  • 如果您的中文显示和我的一样,那如何判断这个是开启状态还是禁用状态。
    2020年11月20日 13:19
  • 尊敬的客户,您好!

    我在测试环境中多次尝试这些命令,我发现,要么把域名的位置换一下,要么把Yes改成No,这样命令结果里就可以看出启用或者禁用的状态了,具体看下面的命令和结果。


    PS C:\windows\system32> netdom trust fabrikam.com /domain: a.com /quarantine:yes /userD: a\administrator /passwordD: 1
    没有为此信任启用 SID 筛选功能。此域的身份验证请求中
    提供的所有 SID 都将无效。

    命令成功完成。

    PS C:\windows\system32> netdom trust a.com /domain: fabrikam.com /quarantine:yes /userD: a\administrator /passwordD: 1
    已为此信任启用 SID 筛选功能。身份验证期间返回的授权数据
    将只接受来自受信域的 SID。
    其他域的 SID 将被删除。

    命令成功完成。

    PS C:\windows\system32> netdom trust fabrikam.com /domain: a.com /quarantine:no /userD: a\administrator /passwordD: 1
    没有为此信任启用 SID 筛选功能。此域的身份验证请求中
    提供的所有 SID 都将无效。

    命令成功完成。

    PS C:\windows\system32> netdom trust a.com /domain: fabrikam.com /quarantine:no /userD: a\administrator /passwordD: 1
    已为此信任启用 SID 筛选功能。身份验证期间返回的授权数据
    将只接受来自受信域的 SID。
    其他域的 SID 将被删除。

    命令成功完成。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月23日 3:07
    版主
  • 非常感谢您这么长时间的支持,我按照您的命令怎么执行都是同样的结果

    2020年11月23日 4:54
  • 尊敬的客户,您好!

    不知道是不是环境的问题。我当时是按照下面这个文档搭的环境(SQL 用的是SQL2017)。

    ADMT Series – 1. Preparing Active Directory
    https://blog.thesysadmins.co.uk/admt-series-1-preparing-active-directory.html

    上面的连接,文章后面还有其他的章节。
    ADMT Series – 1. Preparing Active Directory
    ADMT Series – 2. Preparing the ADMT Machine
    ADMT Series – 3. SID History
    ADMT Series – 4. Password Export Server
    ADMT Series – 5. Machine Preparation
    ADMT Series – 6. Service Account Migration Wizard
    ADMT Series – 7. Group Account Migration Wizard
    ADMT Series – 8. User Account Migration Wizard
    ADMT Series – 9. Merging Users with a Different sAMAccountName
    ADMT Series – 10. Security Translation Wizard – Local Profiles
    ADMT Series – 11. Computer Migration Wizard



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Tony Mu 2020年11月24日 10:15
    2020年11月24日 9:42
    版主
  • 非常感谢,我重新搭建个英文的环境再试。
    2020年11月24日 10:15
  • 尊敬的客户,您好!

    感谢您的回复。

    如果您在后面搭环境遇到问题或者还有ADMT有关的问题,欢迎您随时在这个论坛上开新的帖子咨询。

    感谢您的理解和支持。

    祝您工作生活愉快。


    此致,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月25日 2:23
    版主