eismanhobbit 10 Geschrieben 12. Juli 2007 Melden Teilen Geschrieben 12. Juli 2007 Hallo vielleicht kann mir ja jemand helfen - wenn es geht mit einer genauen Anleitung. Ich soll einen User in eine Subdomain verschieben. Als erstes habe ich auf Basis des "OriginalUsers" einen "Kopieuser" erstellt und dann mit ADMT 2.0 (Windows2000 Server Domäne) in die Subdomain verschoben. Dies hat auch praktisch funktioniert !! Als nächstes habe ich den "Originaluser" verschieben wollen. Leider hat er das nicht gemacht und er bringt mir jedesmal die Fehlermeldung "ERR2:7422 Failed to move object CN=SheSha1, hr=8007054f An internal error occurred."[/b] Daraufhin habe ich User überprüft und alle möglichen sichtbaren Einstellungen zum "Kopieuser" angepasst Keine Chance. Der anscheinend einzige Unterschied ist das der "Originaluser" in der SID-History 2 SIDs hat. Liegt es vielleicht daran ? Wie kriege ich das gebacken ? Kann ich und wenn ja wie die überflüssige und vielleicht alte SID löschen ? Warum hat er eigentlich 2 SIDs ? nachdem das "User verschieben" von einer Domain in eine Subdomain mit ADMT nicht funtzt habe ich es jetzt mit "movetree" versucht. Die Domänen haben eine Vertrauensstellung Die Syntax lautet movetree /check /s Server1.domain.com /d Server2.subdomain.domain.com /sdn CN=<User>,CN=Users,DC=domain,DC=com /ddn CN=<User>,CN=Users,DC=subdomain,DC=domain,DC=com /verbose Jetzt bekomme ich folgende Fehlermeldung: ERROR: 0x212d Bereits zuvor verschobene Objekte mit domänenübergreifender Zugehörigkeit können nicht verschoben werden. Dies wäre ein Verstoß gegen die Zugehörigkeitsbedingungen der Kontogruppe. Entfernen Sie das Objekt aus allen Kontogruppen, und wiederholen Sie den Vorgang. MoveTree cross domain move failed. The extended error is 0000212D: SvcErr: DSID-031B024E, problem 5003 (WILL_NOT_PERFORM), data 0 ERROR: 0x212d Bereits zuvor verschobene Objekte mit domänenübergreifender Zugehörigkeit können nicht verschoben werden. Dies wäre ein Verstoß gegen die Zugehörigkeitsbedingungen der Kontogruppe. Entfernen Sie das Objekt aus allen Kontogruppen, und wiederholen Sie den Vorgang. MoveTree object CN=User,CN=Users,DC=Domain,DC=com failed the Cross Domain Move Check Kann mir da jemand helfen - ich verstehe die Fehlermeldung nicht und der User ist nur Mitglied der Domain-Users Vielen, vielen Dank im voraus Thomas Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 12. Juli 2007 Melden Teilen Geschrieben 12. Juli 2007 Moin, so trifft man sich wieder ;). ERROR: 0x212d Bereits zuvor verschobene Objekte mit domänenübergreifender Zugehörigkeit können nicht verschoben werden. Dies wäre ein Verstoß gegen die Zugehörigkeitsbedingungen der Kontogruppe. Entfernen Sie das Objekt aus allen Kontogruppen, und wiederholen Sie den Vorgang. Ist der Benutzer in diversen Gruppen denn auch Mitglied (auch verschachtelt)? Um zu überprüfen in welchen Gruppen ein Benutzer Mitglied ist, kann man folgende Abfrage erstellen: dsquery user -name <Benutzername> | dsget user -memberof oder: dsget user "DN des Benutzerobjekts" -memberof Yusuf`s Directory - Blog - Active Directory - Abfrage Zitieren Link zu diesem Kommentar
eismanhobbit 10 Geschrieben 12. Juli 2007 Autor Melden Teilen Geschrieben 12. Juli 2007 Vielen Dank für die Hilfe und das nette Mail ! Leider bin ich noch nicht viel weiter gekommen. folgendes wir ausgegeben: dsquery user -name <Benutzername> | dsget user -memberof "CN=intern,CN=Users,DC=Domäne,DC=com" "CN=Domänen-Benutzer,CN=Users,DC=Domäne,DC=com" Ich hatte den User auch aus den Gruppe "intern" schon heraus genommen, sodaß er nur noch in der Gruppe Domänen-Benutzer war. Auch das hat nicht funktioniert und ich bekam die gleiche Fehlermeldung Vielleicht haben Sie ja noch einen Tipp Gruß Eismanhobbit Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 12. Juli 2007 Melden Teilen Geschrieben 12. Juli 2007 Eine Ursache könnte der Hotfix MS04-011 sein, siehe auch: ERR2 7422 ADMT User Migration Error. grizzly999 Zitieren Link zu diesem Kommentar
eismanhobbit 10 Geschrieben 12. Juli 2007 Autor Melden Teilen Geschrieben 12. Juli 2007 Schade, ich bin jetzt schon seit 2 Tagen am recherchieren und das Patch habe ich auch schon auf den Servern installiert. Dran liegt es leider nicht - auch mit dem Patch funktioniert es nicht Gruß eismanhobbit Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 12. Juli 2007 Melden Teilen Geschrieben 12. Juli 2007 Nächster Ansatz: Vresuche es mal mit dem ADMT 3.0, obwohl das 2.0 für 2000 besser tauglich ist. grizzly999 Zitieren Link zu diesem Kommentar
eismanhobbit 10 Geschrieben 12. Juli 2007 Autor Melden Teilen Geschrieben 12. Juli 2007 Vielen Dank für die kurzfristigen Antworten Leider ließ sich ADMT3.0 nicht auf den 2000er-Servern installieren. Kann ich es auch auf einer XP-Workstation ausführen oder muß es, wie ich gelesen habe, auf dem RID-Master ausgeführt werden Wenn es nur vom Server geht, dann geht ADMT 3.0 nicht, da ich nur 2000er Server habe. Gruß eismanhobbit Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 12. Juli 2007 Melden Teilen Geschrieben 12. Juli 2007 Vielleicht haben Sie ja noch einen Tipp Nicht so förmlich... In Communities "duzt" man sich ;). Anderer Ansatz: Suche mal auf der 2000-Server CD nach dem Tool "ClonePrincipal" und versuche damit den Benutzer in die neue Domäne zu migrieren. Zitieren Link zu diesem Kommentar
eismanhobbit 10 Geschrieben 12. Juli 2007 Autor Melden Teilen Geschrieben 12. Juli 2007 Hallo nochmal weißt du, ob es da irgendetwas bestimmtes zu beachten gibt ? Was macht das Tool den - kopieren ? Wenn ich es richtig verstanden habe macht "ClonePrincipal" eine Kopie des Users in der Subdomain. Führt das in meinem Fall nicht zu Problemen ? Bekommt der neue User nicht eine neue SID und der alte bleibt in der "alten Domäne" weiterhin vorhanden. Ich wollte ja eigentlich einen User in die Subdomain verschieben, sodaß der User mit seinen Einstellungen, Profil, Exchange-Postfach usw. einfach in der Subdomain angemeldet werden kann (vielleicht nach kleineren Anpassungen) Danke Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 12. Juli 2007 Melden Teilen Geschrieben 12. Juli 2007 Wenn ich es richtig verstanden habe macht "ClonePrincipal" eine Kopie des Users in der Subdomain.Führt das in meinem Fall nicht zu Problemen ? Das gilt es eben mit einem Test-User herauszufinden. Ich lese bisher, dass der Benutzer geclonet wird und nicht kopiert. Daher bedeutet dies: Learning by doing ;). Zitieren Link zu diesem Kommentar
eismanhobbit 10 Geschrieben 13. Juli 2007 Autor Melden Teilen Geschrieben 13. Juli 2007 Hallo nochmal leider kenne ich mich mit Scripting überhaupt nicht aus. Mal ne andere Frage: Wenn ich über Ansiedit den User mit einem User, bei dem es funktioniert hat vergleiche stelle ich fest, das er teilweise andere Attribute hat. Der, bei dem es nicht funktioniert hat die folgenden zusätzlichen Attribute. LockoutTime logonCount dsCorePropagationData HomeDirectory homeDrive lastLogoff lastLogon badPasswordTime badPwdCount pwdLastSet Wenn ich diese Attribute nun dem Account gebe mit dem es funktioniert, kann ich da was kaputt machen ? Ich würde nämlich nach und nach die einzelnen Attribute ausprobieren und so könnte ich herausbekommen an welchem es liegt. Also die Frage ist, wenn ich solche Attribute diesem Testuser über AnSiedit gebe, mache ich da irgendetwas im AD kaputt ? Gruß eismanhobbit Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 13. Juli 2007 Melden Teilen Geschrieben 13. Juli 2007 Moin, die genannten Attribute sind alle "normale" Attribute eines Benutzerkontos. Die Attribute HOMEDRIVE und HOMEDIRECTORY stellen die Felder in den Eigenschaften eines Benutzerkontos für das Home-Laufwerk dar. Andere Attribute wiederum sind "System-only" und wird nur vom System vergeben bzw. gesetzt. System-only Attribute wären z.B.: - lastLogoff - lastLogon - badPasswordTime - badPwdCount - pwdLastSet Dein Problem liegt nicht daran. Die Fehlermeldung sagt etwas anderes aus: ERROR: 0x212d Bereits zuvor verschobene Objekte mit domänenübergreifender Zugehörigkeit können nicht verschoben werden. Dies wäre ein Verstoß gegen die Zugehörigkeitsbedingungen der Kontogruppe. Entfernen Sie das Objekt aus allen Kontogruppen, und wiederholen Sie den Vorgang. Zitieren Link zu diesem Kommentar
eismanhobbit 10 Geschrieben 13. Juli 2007 Autor Melden Teilen Geschrieben 13. Juli 2007 OK, vielen Dank das habe ich verstanden und ich hatte es mir schon gedacht. Was ich nicht verstehe ist "Entfernen Sie das Objekt aus allen Kontogruppen, und wiederholen Sie den Vorgang." Welche Kontogruppen sind damit gemeint ? Wo kann ich da was entfernen. Gruppenzugehörigkeiten ? Die habe ich schon bis auf "Domänenbenutzer" entfernt und diese lässt sich nicht entfernen Danke eismanhobbit Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 13. Juli 2007 Melden Teilen Geschrieben 13. Juli 2007 Welche Kontogruppen sind damit gemeint ? Ich denke, die von der zweiten SID. Diese wird genau das Problem sein. Zitieren Link zu diesem Kommentar
eismanhobbit 10 Geschrieben 16. Juli 2007 Autor Melden Teilen Geschrieben 16. Juli 2007 Danke sorry, wenn ich so dumm nachfrage aber ich mache das zum ersten mal. Hab zwar schon öfter das ADMT und auch movetree verwendet aber noch nie Probleme damit gehabt. Soo, ich habe festgestellt, das in der SID-History eine SID existiert die keiner aktiven Domäne bei mir zuzuordnen ist. Das sehe ich natürlich am Domänenteil der SID. Wie kann ich diese löschen oder muß ich einfach nur die SID-Filterung in Win2000 aktivieren. So weit ich weiß ist diese in Win2000 deaktiviert per default und erst in Winn2003 per default aktiviert. Gibt es ein Tool um die alte SID zu entfernen ? (es sind übrigens 2 in der SID History) Der User hat also eine aktuelle und 2 alte SIDs. Kann ich beim entfernen von den alten SIDs etwas kaputt machen, z.B. im Bezug auf Exchange? Wäre nett, wenn du mir hierauf noch mal nen Tipp geben könntest !! Gruß eismanhobbit Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.