Defenders 4 Geschrieben 25. September 2018 Melden Geschrieben 25. September 2018 Wir möchten Benutzer aus mehreren Active Directory (6 Server) via Azure Connect für Office365 synchronisieren. Die Synchronisation klappt super aber wir haben ein Problem nicht bedacht: Die 6 Server wurden vor zwei Jahren von einem vorinstalllierten Server geklont und es wurde kein Sysprep gemacht, da die Server an verschiedenen Standorten outtark betrieben wurden. D.h. wir arbeiten bei allen Systemen mit fast identischen SIDs und nun hat es uns bei der Synchronisierung der 6 Systeme erwischt, es kommt leider vor das User zwar auf verschiedenen Servern liegen aber die gleiche SID besitzen. Somit ist eine Synchronisierung der ADs mit Office365 bei vielen Usern fehlgeschlagen. Ein Sysprep können wir bei den produktiven Systemen nicht mehr machen und aktuell können wir uns nur mit der Neuanlage der betroffenen User (in der Hoffnung das die SID noch nicht existiert) behelfen. Gibt es eine andere Lösung, kann man manuell die SID einzelner User anpassen oder besser die Vergabe neuer SIDs anpassen? Sind für jede Hilfe dankbar!!! Danke, Thomas
zahni 587 Geschrieben 25. September 2018 Melden Geschrieben 25. September 2018 Nein, andere Wege sind nicht supported. Und auf DCs schon mal überhaupt nicht. Habt ihr fertig installierte Domain-Controller wirklich geklont? Also so richtig nach dem DCPromo? Ansonsten müssten die Domain-SID eigentlich unterschiedlich sein. 1
NilsK 3.046 Geschrieben 26. September 2018 Melden Geschrieben 26. September 2018 Moin, wenn die beschriebene Situation tatsächlich zutrifft, habt ihr nicht nur eine nicht supportete Umgebung, sondern ein handfestes Problem. Der Beschreibung nach haben die Domänen identische Domain SIDs und stellen daher natürlich identische SIDs für die Objekte aus (denn ein Objekt-SID besteht aus dem Domain SID mit angehängtem RID, was nichts weiter ist als eine fortlaufende Nummer). Das lässt sich nicht beheben. Auch der Workaround mit dem Neuanlegen der User ist bestenfalls halbgar, weil er an dem zugrundeliegenden Problem nichts ändert. Bei sechs Domänen, die möglicherweise identisch sind, ist es sehr unwahrscheinlich, dass ihr überhaupt unterschiedliche SIDs für die Objekte hinbekommt. Und selbst dann wären sie formell alle Teil desselben Sicherheitsbereichs. Unter der Annahme, dass die Beschreibung stimmt, müssten also alle Domänen, die identische Domain SIDs haben, komplett neu installiert werden (mit Ausnahme von einer, die den SID behalten könnte). Andere Auswege gibt es nicht. Gruß, Nils 1
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden