SID wird nicht angezeigt

[CoNtAcT2000 15]

Hallo Leute,

brauche mal euren Rat.

 

Jeder User hat bei uns im Netz einen eigenen persönlichen Ordner.

 

Diese Ordner habe ich übers WE mit Robocopy von einem Server in einer NT Domäne in eine 2008er R2 Domäne ins SAN kopiert. Da zwischen R2 und NT kein Trust mehr funktioniert, habe ich dies über eine 2000er Domäne gemacht und mir von jedem Server ein LW gemappt.

 

Testweise hatte ich das am Freitag mit einem Ordner gemacht - hier wurden auch die ACLS sauber kopiert und in der Registerkarte Sicherheit richtig angezeigt und aufgelöst.

 

Heute Morgen löst die Kiste mir allerdings keine einzige SID mehr auf, sondern zeigt mir nur noch diesen Rattenschwanz an Nummern an.

 

Ich habe versucht die SID´s mit SIDtoName aufzulösen, das funktioniert. Warum aber werden sie dann unter Sicherheit nicht richtig angezeigt?

 

Grüße

Michael

[NorbertFe 2.027]

Also wenn dir ein "Rattenschwanz an Nummern" angezeigt wird, wird dir doch die SID (der Rattenschwanz an Nummern) angezeigt. ;) Oder meintest du, die SID wird nicht zum Namen aufgelöst? Auf was für einem System liegen denn die Files jetzt?

 

Bye

Norbert

[CoNtAcT2000 15]

Moin Norbert,

 

die SID wird angezeigt - der Name wird aber nicht aufgelöst.

Habe den Text grad nochmals überarbeitet. Files liegen im SAN Bereich einer 2008er R2 Domäne.

 

Weder von dem Server aus der R2 Domäne noch von dem Server der 2000er Domäne werden die Namen aufgelöst.

[NorbertFe 2.027]

Moin Norbert,

 

die SID wird angezeigt - der Name wird aber nicht aufgelöst.

Habe den Text grad nochmals überarbeitet. Files liegen im SAN Bereich einer 2008er R2 Domäne.

 

Grmpf. Was heißt denn bei dir SAN Bereich? SAN steht auch nur für Storage Area Network, kann also wahrscheinlich ca. 7trillionen Systeme bedeuten.

Liegen die Files auf einem Windows Server mit FC/iSCSI Blockdevice in einem SAN Storage Device, oder liegen sie in einem vom Storage Hersteller gelieferten NAS System?

 

Bye

Norbert

[CoNtAcT2000 15]

Der Server hat Zugriff auf ein x TB großes IBM SAN, welches über redundate Glasfasern angebunden ist.

 

Auf diesen Bereich besteht auf dem Server eine Netzwerkfreigabe und über diese Freigabe wurden die Daten aufs SAN geschauffelt.

[CoNtAcT2000 15]

Was ich nicht verstehe:

Klicke ich unter Sicherheit auf bearbeiten, wähle den gleichen User der alten Domäne aus und füge ihn hinzu löst er diesen sofort auf!

[NorbertFe 2.027]

Der Server hat Zugriff auf ein x TB großes IBM SAN, welches über redundate Glasfasern angebunden ist.

 

Welcher Server?

 

Auf diesen Bereich besteht auf dem Server eine Netzwerkfreigabe und über diese Freigabe wurden die Daten aufs SAN geschauffelt.

 

Also eigentlich auf Storage. ;)

 

Bye

Norbert

[P.Foeckeler 11]

Hallo,

 

also dieser Effekt tritt oft dann auf, wenn mit der DNS-Auflösung des Fileservers (welches System mit SAN-Storage das dann auch immer sein sollte) nicht richtig konfiguriert ist, z.B. wenn es von dort aus kein Reverse Lookup gibt auf die IP-Adressen der DCs...

 

Überprüf bitte, ob das FileServer-System von seinem TCP/IP-Einstellungen direkt diejenigen DNS-Server verwendet, in denen sich die SRV-Records der AD-DCs befinden, und dass die DCs reverse auflösbar sind.

 

nslookup <ip-addresse-eines-dcs>

 

 

Gruß,

Philipp

[CoNtAcT2000 15]

nur noch mal verständnishalber:

 

NT-Server (alte daten,domain1 NT) === 2008Server(domain2 2000,hier habe ich das Datenverzeichnis der alten und der neuen Domain gemappt) ===> 2008R2Server (Domain3, 2008, hier ist das storage angeschlossen)

 

nslookup <ip adresse des dc´s in der NT Domain> ===> hatte nicht funktioniert. habe nun reverse lookup einträge erstellt und auf den DNS der NT Domäne gebogen. Nun funktioniert nslookup mit der ip.

 

Die Einträge werden dennoch nicht aufgelöst.

 

Weitere Vorschläge?

[CoNtAcT2000 15]

Keiner mehr nen Vorschlag?

 

Was ich nicht verstehe:

Klicke ich unter Sicherheit auf bearbeiten, wähle den gleichen User der alten Domäne aus und füge ihn hinzu löst er diesen sofort auf!

 

Das ist echt der Punkt wo es bei mir aufhört! Warum um alles in der Welt löst er die SID´s zu Namen auf wenn man die User von Hand dazufügt..ich verstehe es nicht.

 

Bin grad noch dabei mit icacls zu basteln dass er die rechte mal neu schreibt - ob das was bringt, mal sehen.

[blub 115]

Hallo,

Woher hast du denn deine Vorgehensweise zur Filemigration von NT40 nach 2008?

 

ein supportetes Werkzeug findest du hier

Downloaddetails: File Server Migration Toolkit

 

cu

blub

[CoNtAcT2000 15]

hallo blub

 

danke für den Link. Ich schaue mir das Teil mal an.

 

Aber im Grunde sollte dies doch auch mit robocopy problemlos möglich sein. Er kopiert ja auch die ACLS - zeigt sie jedoch nicht mit Namen an. Manuell kann man sie neu setzen, dann werden sie auch angezeigt - irgendwie halt komisch?!

[blub 115]

irgendwie funktioniert meiner Meinung dein Trustkonstrukt NT4 <-> W2k <-> w2k8 nicht. Aber ob es "by Design" nicht funktioniert, oder ein Fehler drinnen ist, kann ich nicht sagen.

Daher die Frage, ob dein Vorgehen schonmal jemand anders erfolgreich durchgeführt hat.

 

Eventuell lohnt es sich mit einem Netzwerkmonitor (Wireshark, Netmon) nachzusehen, ob du beim Anzeigen der Berechtigungen "Access denied" auf die Finger bekommst, oder "Server not found" etc.

 

cu

blub

[NilsK 2.930]

Moin,

 

Aber im Grunde sollte dies doch auch mit robocopy problemlos möglich sein. Er kopiert ja auch die ACLS - zeigt sie jedoch nicht mit Namen an. Manuell kann man sie neu setzen, dann werden sie auch angezeigt - irgendwie halt komisch?!

 

was soll daran komisch sein?

 

Du kopierst in den ACLs die SIDs aus einer alten, nicht mehr genutzten Domäne. Diese SIDs existieren in der neuen Umgebung nicht. Wenn du neue Berechtigungen zuweist, basieren diese auf der neuen Umgebung, daher können die zugehörigen Namen auch aufgelöst werden.

 

Gruß, Nils

[CoNtAcT2000 15]

Moin,

 

 

 

was soll daran komisch sein?

 

Du kopierst in den ACLs die SIDs aus einer alten, nicht mehr genutzten Domäne. Diese SIDs existieren in der neuen Umgebung nicht. Wenn du neue Berechtigungen zuweist, basieren diese auf der neuen Umgebung, daher können die zugehörigen Namen auch aufgelöst werden.

 

Gruß, Nils

 

Hi Nils,

 

die Domäne ist nicht ungenutz..diese besteht schon noch, auch produktiv. Wir haben erst damit begonnen die alte NT Domäne aufzulösen. (und es hakt an allen ecken *grml*)

 

Daher gibt es die SID´s sehr wohl noch.

 

Kann es mit folgendem zusammenhängen:

- Es ist ja nicht mehr möglich einen Trust zwischen NT und 2008R2 aufzubauen.

- wenn ich mit robocopy die acls mitkopiere kann er diese nicht mehr auflösen weil der trust nicht da ist?

- aber sollte dies doch dann aus der 2000er Domäne aus machen können? aber das geht ja auch nicht...

 

 

Die Aussage von Nils kann ich mir irgendwie nicht zusammenreimen: ich kopiere eine Acl mit robocopy - diese löst er nicht auf. füge ich sie manuell hinzu, löst er sie auf ---- aber er kann ja schlecht hingehen und eine neue SID da reinschreiben - warum sollte er die denn dann auflösen können?