Domain Migration 2003 - 2008 - Probleme mit Dateizugriff

[Squire 212]

Hallo Leute,

 

uns gehen langsam die Ideen aus ... (MS bei zwei Calls und prof. Support auch). Vorweg - laut MS richtige Vorgehensweise beim Trust und ADMT

 

Gegeben:

 

Gewachsene 2003er Domäne über mehrere Standorte in Deutschland/Europa/Asien

Domäne wurde vor langer Zeit von 2000 auf 2003 in place aktualisiert. Tobit Faxware (Schemaerweiterungen) und Exchange 2003.

Domainfunktionsebene 2003.

 

Wir haben zur neuen Domäne (inkl. Subdomains) (W2k8R2) eine bidirektionale Vertrauensstellung auf Forestebene erstellt. DNS Replikation zwischen der alten und neuen Domäne eingerichtet etc.

 

Die User werden mit ADMT inkl. der alten SID aus der alten Domäne migriert.

 

Jetzt kommt unser Problem - wir haben gut 1500 Gruppen in der alten Domäne - (nicht fragen - gewachsen - war vor meiner Zeit). Diese mit zu migrieren ist nicht das Problem.

 

Aktueller Stand ist - wir können die User mit ihrer alten SID migrieren. Versucht ein User in der neuen Domäne auf Resourcen der alten zu zugreifen, bekommt er ein Access denied. Freigaben etc. sieht der User.

 

Hat hier irgendwer nen Tip?

[dmetzger 10]

Ist die Vertrauensstellung mit ausgewählter oder mit gesamtstrukturweiter Authentifizierung konfiguriert? Ist die SID-Filterung deaktiviert?

[iDiddi 27]

Hilft Dir der Beitrag von Nils evtl. weiter?

 

https://www.mcseboard.de/active-directory-forum-79/probleme-migration-w2k3-w2k8r2-186324.html

[Squire 212]

zu den Fragen: gesamtstrukturweite Authentifizierung und ja SID Filterung ist deaktiviert

 

Anmerkung - Die Gruppenproblematik ist uns bekannt - MaxTokenSize wurde laut den Vorgaben vom MS Support in beiden Gesamtstrukturen auf 65535 gesetzt

Die Vertrauenstellung hat den Wert 0x8 in den trusted Attributs stehen - das muss ebenfalls laut MS so sein