Evoco 10 Geschrieben 2. Juni 2009 Melden Teilen Geschrieben 2. Juni 2009 Hallo zusammen, wir sind gerade dabei eine AD Integration (AD2003) vorzu bereiten und zu testen. Momentan ist eine Vertrauensstellung eingerichtet von Standort 2 zu Standort 1 Wir würden gerne eine "nach und nach" Integration durchführen das heißt: Erst die Clients und die User umziehen und dann die Server. Problemstellung: Wir haben einen Testuser umgezogen mit seinem Client in unser AD, so weit so gut. Das Problem ist die Mailbox! Wenn jetzt Outlook geöffnet wird, dann wird der User aufgefordert sein Username und Passwort der alten Domain einzutragen wo die Mailbox liegt. Dies ist natürllich klar, aber wir möchten gerne den "alten" Exchange Server später umziehen. Kennt ihr ein Setting oder eine Möglichkeit dies zu umgehen so das der User keine "Passwort Abfrage" seiner alten Domain bekommt obwohl die Mailbox in der alten Domain steht? Vielleicht ein Berechtigung auf dem alten Exchange Server oder so? Ich würde mich über Antworten freuen. Danke Gruß Evoco Zitieren Link zu diesem Kommentar
NilsK 2.798 Geschrieben 2. Juni 2009 Melden Teilen Geschrieben 2. Juni 2009 Moin, wie habt ihr den User denn "umgezogen"? Wenn man es richtig macht, klappt das durchaus. Gruß, Nils Zitieren Link zu diesem Kommentar
Evoco 10 Geschrieben 2. Juni 2009 Autor Melden Teilen Geschrieben 2. Juni 2009 woah das ist mal eine schnelle Reaktion :) Also naja was meinst du mit wie umgezogen? Also wir haben auf dem aktuellen DC (neue Domain) über das "Active Dirctory Migration Tool" den User und den Client umgezogen aber nur erst einmal als "Copy". 1. Target same as source, 2. Migrate User SIDs to target domain 3. Translate roaming profiles 4. Fix users group memberships 5. Nothing Exclude 6. Move merged objects to the specified targed OU Vielleicht sollte ich noch dazu sagen das wir Exchange 2003 haben und nicht Exchange 5.5. Was hätte ich anders machen sollen? Gruß Evoco Zitieren Link zu diesem Kommentar
MichaelScherr 10 Geschrieben 2. Juni 2009 Melden Teilen Geschrieben 2. Juni 2009 Hallo, hast du nach dem du die Vertrauensstellung hergestellt hast mit netdom SID Filter auf nein und bzw. SID History auf ja gestellt. Es kann sein das dieser bei dir nicht funktioniert und du deswegen eine Anmeldung bekommst. Hast du das Anmeldefenster auch wenn du auf alte Freigaben zugreifen möchtest? Mfg micha Zitieren Link zu diesem Kommentar
Evoco 10 Geschrieben 2. Juni 2009 Autor Melden Teilen Geschrieben 2. Juni 2009 Hallo, hast du nach dem du die Vertrauensstellung hergestellt hast mit netdom SID Filter auf nein und bzw. SID History auf ja gestellt. Es kann sein das dieser bei dir nicht funktioniert und du deswegen eine Anmeldung bekommst. Hast du das Anmeldefenster auch wenn du auf alte Freigaben zugreifen möchtest? Mfg micha Hallo Micha, also der SID Filter wurde deaktiviert ob das direkt nach der vertrauenstellung oder nach dem integrieren des Users geschah weis ich nicht mehr genau. Aber ich weiß das zum Beispiel die Freigabe "Profiles" wo sein profil drin liegt ich anpassen musste. Also sein altes Profil an sich funktionierte aber die Freigabe musste angepasst werden. Eine Zusatzfrage: Muss eigentlich eine Vertrauensstellung in beide Richtung dafür eingerrichtet sein? Gruß evoco Zitieren Link zu diesem Kommentar
MichaelScherr 10 Geschrieben 2. Juni 2009 Melden Teilen Geschrieben 2. Juni 2009 Hallo, ja die vertrauensstellung muss natürlich beiderseits vorhanden sein. den SID Filter musst du deaktivieren nachdem du die Vertrauensstellung hinzugefügt hast. Was für ein Server ist der alte und was für einer der neue DC (Windows Version)? mfg micha Zitieren Link zu diesem Kommentar
Evoco 10 Geschrieben 2. Juni 2009 Autor Melden Teilen Geschrieben 2. Juni 2009 Hallo, also vielleicht habe ich mich nicht richtig ausgedrückt unter alt meinte ich alte domain. Es sind alle DC Windows Server 2003 und Exchange Server 2003. Sorry Gruß evoco Zitieren Link zu diesem Kommentar
MichaelScherr 10 Geschrieben 2. Juni 2009 Melden Teilen Geschrieben 2. Juni 2009 Hallo, ja das hatte ich verstanden. Ich fragte nur weil der Befehl bei jeder Windows Version unterschiedlich ist. Hier sind die Befehle um den "Status" der SID-Filterung auf der Vertrauensstellung abzufragen. Gebe mal folgendes auf einem DC in der alten Domäne ein: Netdom Trust NETBIOS_NEUE_DOMÄNE /domain:NETBIOS_ALTE_DOMÄNE /EnableSIDHistory /userD:USERNAME /passwordD:PASSWORD Netdom Trust NETBIOS_NEUE_DOMÄNE /domain:NETBIOS_ALTE_DOMÄNE /Quarantine /userD:USERNAME /passwordD:PASSWORD Und das auf einem DC in der neuen Domäne: Netdom Trust NETBIOS_ALTE_DOMÄNE /domain:NETBIOS_NEUE_DOMÄNE /EnableSIDHistory /userD:USERNAME /passwordD:PASSWORD Netdom Trust NETBIOS_ALTE_DOMÄNE /domain:NETBIOS_NEUE_DOMÄNE /Quarantine /userD:USERNAME /passwordD:PASSWORD Die Ausgaben dann hier mal bitte posten (netdom findest du in den Support Tools). Mfg micha Zitieren Link zu diesem Kommentar
Evoco 10 Geschrieben 2. Juni 2009 Autor Melden Teilen Geschrieben 2. Juni 2009 Danke Micha, aber ich habe es schon hin bekommen 1. Es reicht ein einseitiger Trust, jedenfalls haben wir das so. 2. der folgende Artikel half mir auf die Sprünge: Understanding and using the External Associated Account in Windows Server 2003 and Exchange 2003 Problem an der Sache ist, das es für jeden User eingetragen werden muss. Vielleicht müßten wir ein Skript bauen oder es gibt ein Tool, ich bin aber noch am schauen. Danke Gruß evoco Zitieren Link zu diesem Kommentar
MichaelScherr 10 Geschrieben 2. Juni 2009 Melden Teilen Geschrieben 2. Juni 2009 Hallo, ja das macht im Prinzip das gleiche ... die Lösung umgeht nur den SID Filter ... ist aber nicht wirklich Best Practice in meinen Augen. Ist mehr Arbeit für euch als wenn ihr den SID Filter deaktivieren würdet und anschließend die bereits migrierten Konten neu migrieren würdet. Wie machst du es mit den Berechtigungen auf die Profile und Freigaben, willst/musst du da auch alle Berechtigungen neu zuordnen? Mfg Micha Zitieren Link zu diesem Kommentar
Evoco 10 Geschrieben 2. Juni 2009 Autor Melden Teilen Geschrieben 2. Juni 2009 Hi Micha, also der SID Filter ist auf jeden Fall deaktiviert, aber so viel ich weiss nur in eine Richtung meinst du wenn ich dies auch in die andere Richtung dektiviere das dies gehen würde? Bis jetzt mußte ich nur die Freigaben berechtigung anpassen, den Profiles wurden automatisch bei einem Umzug die Aktuelle SID eingetragen bzw. der user der neuen Domain Gruß Evoco Zitieren Link zu diesem Kommentar
Evoco 10 Geschrieben 2. Juni 2009 Autor Melden Teilen Geschrieben 2. Juni 2009 Hallo, ja das hatte ich verstanden. Ich fragte nur weil der Befehl bei jeder Windows Version unterschiedlich ist. Hier sind die Befehle um den "Status" der SID-Filterung auf der Vertrauensstellung abzufragen. Gebe mal folgendes auf einem DC in der alten Domäne ein: Netdom Trust NETBIOS_NEUE_DOMÄNE /domain:NETBIOS_ALTE_DOMÄNE /EnableSIDHistory /userD:USERNAME /passwordD:PASSWORD Netdom Trust NETBIOS_NEUE_DOMÄNE /domain:NETBIOS_ALTE_DOMÄNE /Quarantine /userD:USERNAME /passwordD:PASSWORD Und das auf einem DC in der neuen Domäne: Netdom Trust NETBIOS_ALTE_DOMÄNE /domain:NETBIOS_NEUE_DOMÄNE /EnableSIDHistory /userD:USERNAME /passwordD:PASSWORD Netdom Trust NETBIOS_ALTE_DOMÄNE /domain:NETBIOS_NEUE_DOMÄNE /Quarantine /userD:USERNAME /passwordD:PASSWORD Die Ausgaben dann hier mal bitte posten (netdom findest du in den Support Tools). Mfg micha Ach die Antwort auf deine Frage was bei den Kommandos raus kommt ist folgende: Auf dem DC in der neuen Domain steht: EnabeldsidHistoy: SID History is disabledfor this trust Qurantine: SID Filtering is not enabled for this TRUST. All SIDs presentedin a authentication request from this domain will be honored Auf dem DC in der alten Domain bekomme ich momentan nur: Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Password Obwohl ich den DC Admin der neuen und alten Domain probiert habe...ich teste aber weiter Gruß Evoco Zitieren Link zu diesem Kommentar
MichaelScherr 10 Geschrieben 3. Juni 2009 Melden Teilen Geschrieben 3. Juni 2009 Hallo, laut deiner Aussage: Auf dem DC in der neuen Domain steht: EnabeldsidHistoy: SID History is disabledfor this trust ist SID History nicht aktiviert, aus diesem grund kommt es auch zu deinen Anfangs beschriebenen Problemen. Um diese zu aktivieren mal auf dem neuen DC folgendes ausführen (muss aber beiden Domänen gemacht werden): Netdom Trust NETBIOS_ALTE_DOMÄNE /domain:NETBIOS_NEUE_DOMÄNE /EnableSIDHistory:ja /userD:USERNAME /passwordD:PASSWORD Das du auf dem alten Authentifizierungsfehler bekommst wundert mich, sind die Administratoren passwörter der beiden Domänen gleich ? gibst du nur Administrator oder DOMAIN\Administrator bei userd ein ? Mfg micha Zitieren Link zu diesem Kommentar
Evoco 10 Geschrieben 4. Juni 2009 Autor Melden Teilen Geschrieben 4. Juni 2009 Hallo Micha, also es funktioniert ich habe den SID History Aktiviert und schon ging es. Habe dies gleich mal mit einem zweiten User getestet Zur Info der trust ist aber noch weiterhin nur einseitig, aber es funktioniert trotzdem. Jetzt werde ich mal schauen ob auch noch die ganzen anderen Programme funktionieren, die auf den Servern der alten Domain liegen. Danke für die Hilfe. Gruß Evoco Zitieren Link zu diesem Kommentar
MichaelScherr 10 Geschrieben 8. Juni 2009 Melden Teilen Geschrieben 8. Juni 2009 Hallo, das freut mich das es nun funktioniert. Die Vertrauensstellung musst du nur wie du schon sagtest nur einmal hinzufügen, du hattest da sicher eine bidirektionale hinzugefügt ... aus dem Grund ist diese bei beiden Domänen eingerichtet (ich glaube so war das bei mir auch). Wenn du noch Probleme hast oder Hilfe brauchst sag bescheid. Mfg micha Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.