Born4IT 10 Geschrieben 25. Juni 2014 Melden Teilen Geschrieben 25. Juni 2014 (bearbeitet) Hallo zusammen,Wir sind derzeit in der Umstellung von Windows XP auf Windows 7 (etwas spät, ich weiß ;) ).In diesem Zuge passen wir auch die Prä-Windows 2000 Kennungen an und ändern sie von der historisch bedingten Großrechnernummerierung in das Konzept V.Nachname.Nun zu meiner Herausforderung:Unsere elektronische Zeiterfassung "Zeus" bietet jedem Mitarbeiter die Möglichkeit, seine Arbeitszeiten über ein Webportal abzurufen.Die Authentifizierung findet per SSO mit dem IIS 7 (7.5.7600.16385) statt, welcher auf einem Windows Server 2008 R2 Std läuft.Jedoch stellt es sich nun so dar, dass trotz der Änderung der Prä-Windows 2000 Kennung noch immer irgendwo her die alte Prä-Windows 2000-Kennung, also die Großrechnernummer zur Authentifizierung herangezogen wird, mit welcher jedoch eine Authentifizierung nicht möglich ist.Bisherige Vermutungen sind, das es im IIS noch einen Bereich gibt, in dem die SID's und die Prä-Windows2000-kennungen gecached werden.Bei meinen Recherchen bin ich auf die Einstellung des LSA-Lookup-Caches gestoßen, der ein Zwischenspeichern der Authentifizierungen verhindern soll.(DWORD-Wert: LsaLookupCacheMaxSize = 0 in "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa")Dies hat nur zu einer sporadischen, leider nicht zuverlässigen Verbesserung der Situation geführt, und dann auch nur mit einer Wartezeit von ca. 24 Std. nach Änderung der Prä-Windows 2000 Kennung.Um das Problem zu beheben, hat bisher nur ein kompletter Neustart des Windows Servers geholfen, was jedoch bei der Migration von >250 Arbeitsplätzen keine Alternative ist.Ein Durchstarten des Webs oder des IIS genügt nicht.Ich bin mit meinem Latein am Ende und hoffe auf hilfreiche Ratschläge von euch.Gruß,Marco bearbeitet 25. Juni 2014 von Born4IT Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 25. Juni 2014 Melden Teilen Geschrieben 25. Juni 2014 Würde das Problem organisatorisch anpacken. Änderungen im AD per Powershell auf einen Schlag vorbereiten, Mitarbeiter über neue Kennung ab Tag XYZ informieren, Änderung durchführen, Server neustarten, Zitieren Link zu diesem Kommentar
Born4IT 10 Geschrieben 26. Juni 2014 Autor Melden Teilen Geschrieben 26. Juni 2014 Guten Morgen Doso, danke für deine Antwort. Dein Vorschlag klingt soweit nicht verkehrt. Leider stellt es für mich nur einen Workaround dar, und löst nicht die Frage weshalb und wo die alten Kennungen gecached werden. Zusätzlich haben wir an einem Account testweise die Prä-Windows 2000 Kennung geändert, was dazu führte das das Profil nicht mehr geladen wurde und der entsprechende Mitarbeiter nur ein temporäres Profil bekam. Gruß, Marco Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.