Defenders 4 Geschrieben 25. September 2018 Melden Teilen Geschrieben 25. September 2018 Wir möchten Benutzer aus mehreren Active Directory (6 Server) via Azure Connect für Office365 synchronisieren. Die Synchronisation klappt super aber wir haben ein Problem nicht bedacht: Die 6 Server wurden vor zwei Jahren von einem vorinstalllierten Server geklont und es wurde kein Sysprep gemacht, da die Server an verschiedenen Standorten outtark betrieben wurden. D.h. wir arbeiten bei allen Systemen mit fast identischen SIDs und nun hat es uns bei der Synchronisierung der 6 Systeme erwischt, es kommt leider vor das User zwar auf verschiedenen Servern liegen aber die gleiche SID besitzen. Somit ist eine Synchronisierung der ADs mit Office365 bei vielen Usern fehlgeschlagen. Ein Sysprep können wir bei den produktiven Systemen nicht mehr machen und aktuell können wir uns nur mit der Neuanlage der betroffenen User (in der Hoffnung das die SID noch nicht existiert) behelfen. Gibt es eine andere Lösung, kann man manuell die SID einzelner User anpassen oder besser die Vergabe neuer SIDs anpassen? Sind für jede Hilfe dankbar!!! Danke, Thomas Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 25. September 2018 Melden Teilen Geschrieben 25. September 2018 Nein, andere Wege sind nicht supported. Und auf DCs schon mal überhaupt nicht. Habt ihr fertig installierte Domain-Controller wirklich geklont? Also so richtig nach dem DCPromo? Ansonsten müssten die Domain-SID eigentlich unterschiedlich sein. 1 Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 26. September 2018 Melden Teilen Geschrieben 26. September 2018 Moin, wenn die beschriebene Situation tatsächlich zutrifft, habt ihr nicht nur eine nicht supportete Umgebung, sondern ein handfestes Problem. Der Beschreibung nach haben die Domänen identische Domain SIDs und stellen daher natürlich identische SIDs für die Objekte aus (denn ein Objekt-SID besteht aus dem Domain SID mit angehängtem RID, was nichts weiter ist als eine fortlaufende Nummer). Das lässt sich nicht beheben. Auch der Workaround mit dem Neuanlegen der User ist bestenfalls halbgar, weil er an dem zugrundeliegenden Problem nichts ändert. Bei sechs Domänen, die möglicherweise identisch sind, ist es sehr unwahrscheinlich, dass ihr überhaupt unterschiedliche SIDs für die Objekte hinbekommt. Und selbst dann wären sie formell alle Teil desselben Sicherheitsbereichs. Unter der Annahme, dass die Beschreibung stimmt, müssten also alle Domänen, die identische Domain SIDs haben, komplett neu installiert werden (mit Ausnahme von einer, die den SID behalten könnte). Andere Auswege gibt es nicht. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.