Born4IT 10 Geschrieben 25. Juni 2014 Melden Geschrieben 25. Juni 2014 (bearbeitet) Hallo zusammen,Wir sind derzeit in der Umstellung von Windows XP auf Windows 7 (etwas spät, ich weiß ;) ).In diesem Zuge passen wir auch die Prä-Windows 2000 Kennungen an und ändern sie von der historisch bedingten Großrechnernummerierung in das Konzept V.Nachname.Nun zu meiner Herausforderung:Unsere elektronische Zeiterfassung "Zeus" bietet jedem Mitarbeiter die Möglichkeit, seine Arbeitszeiten über ein Webportal abzurufen.Die Authentifizierung findet per SSO mit dem IIS 7 (7.5.7600.16385) statt, welcher auf einem Windows Server 2008 R2 Std läuft.Jedoch stellt es sich nun so dar, dass trotz der Änderung der Prä-Windows 2000 Kennung noch immer irgendwo her die alte Prä-Windows 2000-Kennung, also die Großrechnernummer zur Authentifizierung herangezogen wird, mit welcher jedoch eine Authentifizierung nicht möglich ist.Bisherige Vermutungen sind, das es im IIS noch einen Bereich gibt, in dem die SID's und die Prä-Windows2000-kennungen gecached werden.Bei meinen Recherchen bin ich auf die Einstellung des LSA-Lookup-Caches gestoßen, der ein Zwischenspeichern der Authentifizierungen verhindern soll.(DWORD-Wert: LsaLookupCacheMaxSize = 0 in "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa")Dies hat nur zu einer sporadischen, leider nicht zuverlässigen Verbesserung der Situation geführt, und dann auch nur mit einer Wartezeit von ca. 24 Std. nach Änderung der Prä-Windows 2000 Kennung.Um das Problem zu beheben, hat bisher nur ein kompletter Neustart des Windows Servers geholfen, was jedoch bei der Migration von >250 Arbeitsplätzen keine Alternative ist.Ein Durchstarten des Webs oder des IIS genügt nicht.Ich bin mit meinem Latein am Ende und hoffe auf hilfreiche Ratschläge von euch.Gruß,Marco bearbeitet 25. Juni 2014 von Born4IT
Doso 77 Geschrieben 25. Juni 2014 Melden Geschrieben 25. Juni 2014 Würde das Problem organisatorisch anpacken. Änderungen im AD per Powershell auf einen Schlag vorbereiten, Mitarbeiter über neue Kennung ab Tag XYZ informieren, Änderung durchführen, Server neustarten,
Born4IT 10 Geschrieben 26. Juni 2014 Autor Melden Geschrieben 26. Juni 2014 Guten Morgen Doso, danke für deine Antwort. Dein Vorschlag klingt soweit nicht verkehrt. Leider stellt es für mich nur einen Workaround dar, und löst nicht die Frage weshalb und wo die alten Kennungen gecached werden. Zusätzlich haben wir an einem Account testweise die Prä-Windows 2000 Kennung geändert, was dazu führte das das Profil nicht mehr geladen wurde und der entsprechende Mitarbeiter nur ein temporäres Profil bekam. Gruß, Marco
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden