2 Domains, unterschiedicher DomainLevel und Kennwortänderung

[Redliner 10]

Hallo zusammen,

 

ich habe eine verzwicktes Problem.

Wir haben eine User und Computer Domain im Domain Level Server 2000 und eine neue Domain mit den Applikationsservern Level 2003 mit DC`s 2003. In dieser neuen Domain ist auch Exchange 2003 enthalten.

 

Die User melden sich an der 2000er mit XP an und rufen Outlook XP auf. Es folgt eine Authentifizierung an der neuen Domain und gut ist.

 

Nun habe ich letzte Woche in der neuen Domain den ersten 2008R2 Domaincontroller hinzugefügt.

 

Nun haben wir ein Problem bei mehreren User: Immmer wenn in der neuen 2003er das Paßwort abgelaufen ist, ist im AD das Flag gesetzt " User hat sein Kennwort zu ändern". Das geht aber nun nicht mehr. User bekomt die Meldung das das alte nimmt mehr stimmt. Ich kann das auch jederzeit reproduzieren indem ich bei einem Testuser einfach das Flag setze.

 

Workaround User muß sich auf einen Client in der 2003er mittels RDP schalten und das Kennwort ändern .....nur das kann keine endgültige Lösung sein.

 

Vielleicht habt ihr ja eine Idee..

 

 

Vielen Dank

Redliner

[NilsK 2.795]

Moin,

 

deine ganze Beschreibung ist ausgesprochen unvollständig. Bitte sorgfältiger beschreiben. Unter anderem:

• Besteht eine Vertrauensstellung zwischen den Domänen?
  
• Mit welchen Konten melden sich die User wo an?
  
• Was passiert genau, wenn das Kennwort abgelaufen ist? Deine Beschreibung ist nicht verständlich. Welche Fehlermeldungen treten auf?
  
• Welches Betriebssystem läuft bei den Clients?
  
• Was sagen die Eventlogs der beteiligten Systeme?
  

 

Und abschließend noch die Frage: Warum habt ihr eine neue Domäne überhaupt mit einem veralteten Betriebssystem aufgesetzt?

 

Gruß, Nils

[Redliner 10]

Danke für die Antwort

 

- Vertrauensstellung beidseitig besteht

- User und AD Konto und Workstation Anmeldung ist in der 2000er Domain

- User haben auch ein AD Konto in der 2003er Domain. Mit dem melden sie sich in Outlook an das wiederum auf den Exchange 2003 in der 2003er zugreift.

- User bekommen die Fehlermeldung das das alte Paßwort incorrekt sei.

- Windows XP

- Eventlogs der Clients sind sauber, auch die Domaincontroller

[Redliner 10]

nochmal zur Frage warum 2003.

 

Auch die 2003er Domain besteht schon seit ca. 3 Jahren. In den letzten Jahren wurde nun die Server peu a peu migriert.

 

Ketzt fehlen noch die User und Workstations, das zieht sich aber noch bis in den Herbst.

[NilsK 2.795]

Moin,

 

wenn eine Vertrauensstellung besteht, brauchen die User doch keine separaten Konten in der anderen Domäne. Wozu soll das gut sein?

 

Gruß, Nils

[tom701 10]

Moin, ich sehe das genauso.

Wenn Du einen Vertrauenstellung eingerichtet hast warum benötigen die User dann nochmal Accounts in der neuen Domäne?

Normalerweise ist der Sinn einer Vertrauenstellung Ressourcen aus Domäne A Benutzern aus Domäne B zur Verfügung zu stellen.

Gruß Tom

[Redliner 10]

naja Ziel ist es ja die alte 2000er abzulösen. Also müssen oder mußten ja auch die Konten migriert werden.

 

Das wurde aber schon vor 3 Jahren gemacht und an das haben sich die User ja auch gewohnt.

[NilsK 2.795]

Moin,

 

ich würde aber nicht ausschließen, dass dein Fehlerbild genau mit diesen Doppelkonten zusammenhängt.

 

Du hast immer noch nicht den Vorgang ausreichend beschrieben. An welche Domäne meldet sich der User an, wenn er sein Kennwort ändern will? Wie geht er dabei exakt vor? Wie lautet die Fehlermeldung genau (abtippen!)?

 

Gruß, Nils

[Redliner 10]

1. der User meldet sich mit Win XP an der 2000er an in der auch das Computerkonto besteht.

 

2. der User startet auf seinem Client Outlook XP. Das wiederrum connected sich an die 2003er Domain mit Exchange 2003.

 

3. Wenn das Paßwort nicht abgelaufen ist ( 2003er) ist alles in Ordnung. Outlook geht auf .

 

 

Ist nun das Flag gesetzt ( in der 2003er) Paßwort muß geändert werden., kommt die Fehlermeldung das das alte Paßwort incorrekt sei. User kann nun sein Paßwort nicht mehr ändern.

Workaround. User connected sich mittels RDP auf einen Client in der 2003er und ändert sein Paßwort.

 

Ich hoffe ich habs nun besser beschrieben...

[NilsK 2.795]

Moin,

 

gut, soweit ist das erwartetes Verhalten. Und wie war es vorher?

 

Da der User in der 2000-Domäne angemeldet ist, kann er von dort das Kennwort in der anderen Domäne nicht ändern. Euer Problem ist die doppelte Kontenführung. Wenn ihr es so gemacht hättet, wie es gedacht ist (Vertrauensstellung; User arbeiten mit ihren Konten aus der 2000-Domäne; Exchange-Mailbox ist dem 2000-Konto zugeordnet), bestünde das Problem gar nicht.

 

Gruß, Nils

[Redliner 10]

Naja ich weiß nicht ob das ein erwartetes Verhalten ist.

 

Wenn der User sein Outlook XP aufmacht, bekommt er ein Login Fenster in dem er seinen Credentials eingeben kann. Rechts in dem Fenster ist ein Button Kennwort ändern.

Bis jetzt war es so, das Flag der Kennwortänderung ist gesetzt. User meldet sich an, geht auf Kennwort ändern und gut war.

 

Erst seit dem 2008er DC ist das Problem vorhanden.

 

Meines erachtens ist es auch gar nicht möglich über Forestgrenzen hinweg Mailboxen den Usern zuzuordnen. Habs auch gerade ausprobiert. Neues User Objekt angelegt - da kommt gar nicht die Aufforderung mit der Mailbox bzw,. man kann es nicht auswählen. Exchange Snap Inns sind auf der Maschine vorhanden.

 

Außerdem stellt sich diese Frage jetzt eh nicht, daß dies ( Doppelkonten) ein gewollter und bereits durchgeführter Prozeß ist.

Auch sind die Doppelkonten nötig, da wir viele selbst gestrikte JBoss Applikationen ( in der 2003er) Domain haben, die ein Single Sign On benötigen und ein User Objekt in der jeweiligen Domain benötigen. Ich könnte jetzt noch mehr aufzählen....

 

Fakt ist, ich habe nun mit dem ( ich denke mal) 2008er DC ein Problem und versuche es irgendwie zu lösen..

 

Danke

 

Redliner

[NorbertFe 1.830]

Meines erachtens ist es auch gar nicht möglich über Forestgrenzen hinweg Mailboxen den Usern zuzuordnen.

 

Das denkst aber auch nur du.

Convert a Mailbox to a Linked Mailbox: Exchange 2010 SP1 Help

 

Geht natürlich auch nicht erst seit Exchange 2010.

http://www.msexchange.org/tutorials/Understanding-External-Associated-Account-Windows-Server-2003-Exchange-2003.html

 

 

Habs auch gerade ausprobiert. Neues User Objekt angelegt - da kommt gar nicht die Aufforderung mit der Mailbox bzw,. man kann es nicht auswählen. Exchange Snap Inns sind auf der Maschine vorhanden.

 

Vielleicht möchtest du dich ja eher mit der Technik beschäftigen, als darüber zu philosophieren, dass die von euch angegangene Lösung eben Probleme hat, die es nicht geben würde, hättet ihr euch vorher damit beschäftigt. ;)

 

Viel Erfolg noch

Norbert

[Redliner 10]

ich versteh nicht ganz was du mir jetzt sagen willst. Auch wenn es auf Umwegen geht, hilft es mir momentan nicht weiter.

 

Vielleicht hat man vor 3 Jahren einen von 100 Gedanken vergessen. Damals kam man jedenfals zu dem Entschluss es so zu machen auch wegen der Jboss Applikationen.

 

Anyway.. Die ganze Zeit gings ja auch gut bzw. wußten wir bis letzte Woche nicht das wir einen Fehler haben. Der ist aber nun aufgetreten und ich versuche ihn zu lösen, bzw die Ursache herauszufinden.

 

Redliner

[NorbertFe 1.830]

ich versteh nicht ganz was du mir jetzt sagen willst. Auch wenn es auf Umwegen geht, hilft es mir momentan nicht weiter.

 

Das ist kein Umweg, sondern eigentlich der "sinnvollste" Weg.

 

Ich wollte dir eigentlich auch nur sagen, dass "dein Erachten" falsch ist, denn es geht sehr wohl, und das ist kein Umweg, sondern Best Practise in diversen Szenarien. Wenn dir das nicht hilft, kann ich dir leider auch nicht weiterhelfen. ;)

 

Bye

Norbert

[Redliner 10]

versteh mich nicht falsch, finde ja super das du mir hilfst.

 

Nur kann ich jetzt Entscheidungen der letzten Jahre nicht rückläufig machen bzw die ganze Company umstellen ( dafür sind wir zu groß).

 

Ich versuche jetzt nur den Fehler zu lösen, egal durch welche Ursache auch immer er zustande kam.

 

Redliner