Christoph35 10 Geschrieben 9. Februar 2006 Melden Geschrieben 9. Februar 2006 Hallo, zusammen! Wir haben hier ein etwas diffiziles Problem. Kurze Beschreibung: ein AD Forest mit 3 Domains in 3 DNS Trees (war so von den DNS-Admins vorgegeben), 4 Sites. Alles korrekt definiert, Replikation funktionstüchtig. Forest-Level W2K3 Native. Nennen wir die Domains mal A.firma.com, B.firma.com und C.firma.com. Trusts sind aktiv und erfolgreich überprüft worden. Wir haben in der Domain A.Firma.com eine globale Gruppe, die auf ein Verzeichnis Zugriff hat, in eine universelle Gruppe konvertiert. Dann haben wir Users aus den Domains B.firma.com und C.firma.com dieser Gruppe hinzugefügt. Die User haben sich neu angemeldet, aber wenn sie auf das gewünschte Verzeichnis zugreifen wollen, kommt dennoch ein Access Denied :suspect: Wie kann das sein? Es scheint so zu sein, dass das Security Token der Universellen Gruppe dem Userkonto nicht hinzugefügt wird. Nebenfrage: ist es richtig, dass Domain Admins von B und C die Mitgliedschaft der User aus ihren jeweiligen Domains in der universellen Gruppe der Domain A nicht angezeigt bekommen? Gruß Christoph Zitieren
grizzly999 11 Geschrieben 9. Februar 2006 Melden Geschrieben 9. Februar 2006 Es scheint so zu sein, dass das Security Token der Universellen Gruppe dem Userkonto nicht hinzugefügt wird. Hast du das schon geprüft? grizzly999 Zitieren
Hirgelzwift 10 Geschrieben 9. Februar 2006 Melden Geschrieben 9. Februar 2006 hmm, kann es rein theoretisch sein das die universellen gruppen, also die änderungen in der gruppen, einfach noch nicht repliziert sind? irgendwas war da, ich kann mich dunkel erinnern das bei universellen gruppen die replikation nicht sehr häufig stattfindet. kann aber auch sein das ich mich täusche. Zitieren
Christoph35 10 Geschrieben 9. Februar 2006 Autor Melden Geschrieben 9. Februar 2006 Hast du das schon geprüft? grizzly999 Wenn der User selbst in Domain B eine LDAP-Abfrage auf sein User-Objekt macht, wird die universelle Gruppen aus Domain A aufgelöst (memberof-Attribut). Ebenso sieht der User sich auch als Mitglied in der universellen Gruppe aus A, wenn er die Mitglieder der universellen Gruppe aus Domain A abruft. Abfrage mit non-MS LDAP Browser. kann es rein theoretisch sein das die universellen gruppen, also die änderungen in der gruppen, einfach noch nicht repliziert sind? Wir haben die Replikation manuell angestoßen, hat aber nichts gebracht. Wir werden jetzt mal versuchen, das ganze mit ein paar VMs nachzustellen. Aber vielleicht habt ihr ja noch andere Ideen. Christoph /edit: eins fällt mir grad selbst noch ein: Lt. MS ist es ja ein Problem, wenn der Infrastruktur-Master auch GC-Server ist, Ausnahme: alle DCs sind auch GC Server. Und diese Situation ist bei uns gegeben. Hätte ich vielleicht erwähnen sollen :rolleyes: Zitieren
BuzzeR 10 Geschrieben 9. Februar 2006 Melden Geschrieben 9. Februar 2006 Hallo Christoph, hatte das selbe Problem. Nachdem ich sowohl das Caching der Benutzerdaten abgestellt hatte, als auch via GPO die XP Clients angewiesen habe auf das Netzwerk zu warten, löste sich das Problem in Luft auf. Auch bei mir konnte ich vorher effektive Berechtigungen, Membership usw. abfragen und alles wurde korrekt angezeigt ... trotzdem Zugriff verweigert, bis ich das o.a. durchgeführt hatte. LG Marco Zitieren
Christoph35 10 Geschrieben 9. Februar 2006 Autor Melden Geschrieben 9. Februar 2006 Hi, danke für den Tip, aber falls Du "Enable Universal Group Membership Caching" meinst, muss ich Dich leider enttäuschen. Das ist bei uns auf allen Sites abgeschaltet. Und die Policy "Wait for Network" ist auch aktiv. Christoph Zitieren
BuzzeR 10 Geschrieben 9. Februar 2006 Melden Geschrieben 9. Februar 2006 Schade ... war dann nur ein netter Versuch. ;) Marco Zitieren
Christoph35 10 Geschrieben 9. Februar 2006 Autor Melden Geschrieben 9. Februar 2006 Kein Problem, ich bin für jeden Tipp dankbar :) Christoph Zitieren
Christoph35 10 Geschrieben 9. Februar 2006 Autor Melden Geschrieben 9. Februar 2006 Update: wir haben das jetzt mal umgekehrt probiert. In Domain B.firma.com haben wir eine universelle Gruppe eingerichtet und Zugriff auf eine Freigabe auf einem Server in B.firma.com gegeben. Dieser Gruppe haben wir Mitglieder aus A.firma.com hinzugefügt. In dem Fall ist der Zugriff möglich :shock: Christoph Zitieren
Christoph35 10 Geschrieben 10. Februar 2006 Autor Melden Geschrieben 10. Februar 2006 Problem noch nicht gelöst :( Wir haben das ganze jetzt mal in einer VM Testumgebung gemacht, da gabs keine Probleme... Bin immer noch für Ideen offen... Christoph Zitieren
BuzzeR 10 Geschrieben 10. Februar 2006 Melden Geschrieben 10. Februar 2006 Getz isset soweit ... baue den Zinober getz selber nach. ;) Das fuchst mich jetzt. Verstehe das nämlich nicht ganz ... denn wenn die bidirektionalen Trusts funktionieren, AD und GC korrekt repliziert werden, dann sollte es da keine Probleme geben ... chon komich. Ihr habt aber die Trusts wirklich gecheckt und die Replikationstopologie mittels replmon mal nachvollzogen, bzw. Euch die Replikation mittels RegHack loggen lassen? Und das lief wirklich ohne Probleme? Hmmm - ich sehe ja das Problem bei den Trusts ... mal schauen ... stecke da halt gerade nicht so richtig drin ... leider ... :D ... aber gleich. Marco Zitieren
Christoph35 10 Geschrieben 10. Februar 2006 Autor Melden Geschrieben 10. Februar 2006 Hi, ja, wir haben die Trusts noch mal überprüft: successfully validated.... Dennoch vermuten auch wir da das Problem, aber wir haben da mittlerweile mal einen Call bei MS laufen.. sollen die sich auch mal die Köpfe zerbrechen ;) Wie gesagt: wir haben eine VM-Umgebung mit 2 Domains gebastelt und da funzt das, auch funzt das ganze in der prod. Domain andersrum (Share in Domain B, univ. Gruppe in B, userkonto in A -> Zugriff möglich... Wir haben Replmon natürlich probiert: meldet keine Fehler... Replikation mittels Reghack loggen lassen? Kannst Du das mal erläutern? Schon mal danke für Deine Mühe :) Christoph Zitieren
BuzzeR 10 Geschrieben 10. Februar 2006 Melden Geschrieben 10. Februar 2006 Hi Christoph, ja, mich wurmt das, denn ich betreue ja schließlich ähnliche Szenarien und daher würde ich gerne wissen, wieso es bei Dir zu solch einem Verhalten kommt. Vielleicht sitze ich ja demnächst vor dem selben Problem und daher ist es für mich von Interesse, etwaige Fehlerursachen im Vorfeld zu kennen. Es gibt da einen Registry - Key, bei welchem Du den Debug - Level von 1 - 5 angeben kannst. Suche ich mal eben wacker raus. Bis gleich ... LG Marco Zitieren
Christoph35 10 Geschrieben 10. Februar 2006 Autor Melden Geschrieben 10. Februar 2006 Ja, ich glaub das ist irgendwas mit "FieldEngineering", weiß aber grad nicht, wo der gesetzt werden muss. /edit: hier stehts... http://support.microsoft.com/kb/314980 Christoph Zitieren
BuzzeR 10 Geschrieben 10. Februar 2006 Melden Geschrieben 10. Februar 2006 Habe gelogen, sind nämlich die Wertigkeiten von 0 - 5 und zwar unter HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics. ;) Wobei steigende Wertigkeiten auch mehr Debug-Info bedeuten und wenn ich sage mehr Infos, dann meine ich das auch so. Solltest Du nicht unbedingt über einen längeren Zeitraum mitlaufen lassen, denn sonst wird Dir das Log ziemlich vollgepumpt. So, muß jetzt weiter meinen Forrest zusammenzaubern ... bis spädda. ;) LG Marco EDITH: Siehste, habe ich Deine Edith garnicht wahrgenommen. ;) Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.