Jump to content
Sign in to follow this  
eismanhobbit

Probleme mit User mit ADMT in Subdomain verschieben

Recommended Posts

Hallo

 

vielleicht kann mir ja jemand helfen - wenn es geht mit einer genauen Anleitung.

 

Ich soll einen User in eine Subdomain verschieben.

Als erstes habe ich auf Basis des "OriginalUsers" einen "Kopieuser" erstellt und dann mit ADMT 2.0 (Windows2000 Server Domäne) in die Subdomain verschoben. Dies hat auch praktisch funktioniert !!

Als nächstes habe ich den "Originaluser" verschieben wollen.

Leider hat er das nicht gemacht und er bringt mir jedesmal die Fehlermeldung

"ERR2:7422 Failed to move object CN=SheSha1, hr=8007054f An internal error occurred."[/b]

Daraufhin habe ich User überprüft und alle möglichen sichtbaren Einstellungen zum "Kopieuser" angepasst

Keine Chance.

Der anscheinend einzige Unterschied ist das der "Originaluser" in der SID-History 2 SIDs hat.

Liegt es vielleicht daran ?

Wie kriege ich das gebacken ?

Kann ich und wenn ja wie die überflüssige und vielleicht alte SID löschen ?

Warum hat er eigentlich 2 SIDs ?

 

nachdem das "User verschieben" von einer Domain in eine Subdomain mit ADMT nicht funtzt habe ich es jetzt mit "movetree" versucht.

Die Domänen haben eine Vertrauensstellung

 

Die Syntax lautet

 

movetree /check /s Server1.domain.com /d Server2.subdomain.domain.com /sdn CN=<User>,CN=Users,DC=domain,DC=com /ddn CN=<User>,CN=Users,DC=subdomain,DC=domain,DC=com /verbose

 

Jetzt bekomme ich folgende Fehlermeldung:

 

ERROR: 0x212d Bereits zuvor verschobene Objekte mit domänenübergreifender Zugehörigkeit können nicht verschoben werden. Dies wäre ein Verstoß gegen die Zugehörigkeitsbedingungen der Kontogruppe. Entfernen Sie das Objekt aus allen Kontogruppen, und wiederholen Sie den Vorgang.

 

MoveTree cross domain move failed. The extended error is 0000212D: SvcErr: DSID-031B024E, problem 5003 (WILL_NOT_PERFORM), data 0

 

ERROR: 0x212d Bereits zuvor verschobene Objekte mit domänenübergreifender Zugehörigkeit können nicht verschoben werden. Dies wäre ein Verstoß gegen die Zugehörigkeitsbedingungen der Kontogruppe. Entfernen Sie das Objekt aus allen Kontogruppen, und wiederholen Sie den Vorgang.

 

MoveTree object CN=User,CN=Users,DC=Domain,DC=com failed the Cross Domain Move Check

 

Kann mir da jemand helfen - ich verstehe die Fehlermeldung nicht und der User ist nur Mitglied der Domain-Users

 

Vielen, vielen Dank im voraus

Thomas

Share this post


Link to post
Share on other sites

Moin,

 

so trifft man sich wieder ;).

 

ERROR: 0x212d Bereits zuvor verschobene Objekte mit domänenübergreifender Zugehörigkeit können nicht verschoben werden. Dies wäre ein Verstoß gegen die Zugehörigkeitsbedingungen der Kontogruppe. Entfernen Sie das Objekt aus allen Kontogruppen, und wiederholen Sie den Vorgang.

 

Ist der Benutzer in diversen Gruppen denn auch Mitglied (auch verschachtelt)?

Um zu überprüfen in welchen Gruppen ein Benutzer Mitglied ist, kann man folgende Abfrage erstellen:

 

dsquery user -name <Benutzername> | dsget user -memberof

 

oder:

 

dsget user "DN des Benutzerobjekts" -memberof

 

Yusuf`s Directory - Blog - Active Directory - Abfrage

Share this post


Link to post
Share on other sites

Vielen Dank für die Hilfe und das nette Mail !

Leider bin ich noch nicht viel weiter gekommen.

 

folgendes wir ausgegeben:

dsquery user -name <Benutzername> | dsget user -memberof

 

"CN=intern,CN=Users,DC=Domäne,DC=com"

"CN=Domänen-Benutzer,CN=Users,DC=Domäne,DC=com"

 

Ich hatte den User auch aus den Gruppe "intern" schon heraus genommen, sodaß er nur noch in der Gruppe Domänen-Benutzer war.

 

Auch das hat nicht funktioniert und ich bekam die gleiche Fehlermeldung

 

Vielleicht haben Sie ja noch einen Tipp

 

Gruß

Eismanhobbit

Share this post


Link to post
Share on other sites

Schade,

ich bin jetzt schon seit 2 Tagen am recherchieren und das Patch habe ich auch schon auf den Servern installiert.

Dran liegt es leider nicht - auch mit dem Patch funktioniert es nicht

 

Gruß

eismanhobbit

Share this post


Link to post
Share on other sites

Vielen Dank für die kurzfristigen Antworten

 

Leider ließ sich ADMT3.0 nicht auf den 2000er-Servern installieren.

Kann ich es auch auf einer XP-Workstation ausführen oder muß es, wie ich gelesen habe, auf dem RID-Master ausgeführt werden

 

Wenn es nur vom Server geht, dann geht ADMT 3.0 nicht, da ich nur 2000er Server habe.

 

Gruß

eismanhobbit

Share this post


Link to post
Share on other sites
Vielleicht haben Sie ja noch einen Tipp

 

Nicht so förmlich... In Communities "duzt" man sich ;).

 

Anderer Ansatz:

 

Suche mal auf der 2000-Server CD nach dem Tool "ClonePrincipal" und versuche damit den Benutzer in die neue Domäne zu migrieren.

Share this post


Link to post
Share on other sites

Hallo nochmal

 

weißt du, ob es da irgendetwas bestimmtes zu beachten gibt ?

Was macht das Tool den - kopieren ?

 

Wenn ich es richtig verstanden habe macht "ClonePrincipal" eine Kopie des Users in der Subdomain.

Führt das in meinem Fall nicht zu Problemen ?

Bekommt der neue User nicht eine neue SID und der alte bleibt in der "alten Domäne" weiterhin vorhanden.

 

Ich wollte ja eigentlich einen User in die Subdomain verschieben, sodaß der User mit seinen Einstellungen, Profil, Exchange-Postfach usw. einfach in der Subdomain angemeldet werden kann (vielleicht nach kleineren Anpassungen)

 

Danke

Share this post


Link to post
Share on other sites
Wenn ich es richtig verstanden habe macht "ClonePrincipal" eine Kopie des Users in der Subdomain.

Führt das in meinem Fall nicht zu Problemen ?

 

Das gilt es eben mit einem Test-User herauszufinden.

Ich lese bisher, dass der Benutzer geclonet wird und nicht kopiert.

Daher bedeutet dies: Learning by doing ;).

Share this post


Link to post
Share on other sites

Hallo nochmal

 

leider kenne ich mich mit Scripting überhaupt nicht aus.

 

Mal ne andere Frage:

Wenn ich über Ansiedit den User mit einem User, bei dem es funktioniert hat vergleiche stelle ich fest, das er teilweise andere Attribute hat.

Der, bei dem es nicht funktioniert hat die folgenden zusätzlichen Attribute.

 

LockoutTime

logonCount

dsCorePropagationData

HomeDirectory

homeDrive

lastLogoff

lastLogon

badPasswordTime

badPwdCount

pwdLastSet

 

Wenn ich diese Attribute nun dem Account gebe mit dem es funktioniert, kann ich da was kaputt machen ?

Ich würde nämlich nach und nach die einzelnen Attribute ausprobieren und so könnte ich herausbekommen an welchem es liegt.

 

Also die Frage ist, wenn ich solche Attribute diesem Testuser über AnSiedit gebe, mache ich da irgendetwas im AD kaputt ?

 

Gruß

eismanhobbit

Share this post


Link to post
Share on other sites

Moin,

 

die genannten Attribute sind alle "normale" Attribute eines Benutzerkontos.

Die Attribute HOMEDRIVE und HOMEDIRECTORY stellen die Felder in den Eigenschaften eines Benutzerkontos für das Home-Laufwerk dar.

Andere Attribute wiederum sind "System-only" und wird nur vom System vergeben bzw. gesetzt.

System-only Attribute wären z.B.:

 

- lastLogoff

- lastLogon

- badPasswordTime

- badPwdCount

- pwdLastSet

 

Dein Problem liegt nicht daran. Die Fehlermeldung sagt etwas anderes aus:

 

ERROR: 0x212d Bereits zuvor verschobene Objekte mit domänenübergreifender Zugehörigkeit können nicht verschoben werden. Dies wäre ein Verstoß gegen die Zugehörigkeitsbedingungen der Kontogruppe. Entfernen Sie das Objekt aus allen Kontogruppen, und wiederholen Sie den Vorgang.

Share this post


Link to post
Share on other sites

OK, vielen Dank

 

das habe ich verstanden und ich hatte es mir schon gedacht.

Was ich nicht verstehe ist

 

"Entfernen Sie das Objekt aus allen Kontogruppen, und wiederholen Sie den Vorgang."

 

Welche Kontogruppen sind damit gemeint ?

Wo kann ich da was entfernen.

Gruppenzugehörigkeiten ? Die habe ich schon bis auf "Domänenbenutzer" entfernt und diese lässt sich nicht entfernen

 

Danke

eismanhobbit

Share this post


Link to post
Share on other sites
Welche Kontogruppen sind damit gemeint ?

 

Ich denke, die von der zweiten SID.

Diese wird genau das Problem sein.

Share this post


Link to post
Share on other sites

Danke

 

sorry, wenn ich so dumm nachfrage aber ich mache das zum ersten mal.

Hab zwar schon öfter das ADMT und auch movetree verwendet aber noch nie Probleme damit gehabt.

 

Soo, ich habe festgestellt, das in der SID-History eine SID existiert die keiner aktiven Domäne bei mir zuzuordnen ist. Das sehe ich natürlich am Domänenteil der SID.

Wie kann ich diese löschen oder muß ich einfach nur die SID-Filterung in Win2000 aktivieren. So weit ich weiß ist diese in Win2000 deaktiviert per default und erst in Winn2003 per default aktiviert.

 

Gibt es ein Tool um die alte SID zu entfernen ? (es sind übrigens 2 in der SID History)

Der User hat also eine aktuelle und 2 alte SIDs.

Kann ich beim entfernen von den alten SIDs etwas kaputt machen, z.B. im Bezug auf Exchange?

 

 

Wäre nett, wenn du mir hierauf noch mal nen Tipp geben könntest !!

 

Gruß

eismanhobbit

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...