Vertrauensstellung und SID-History

[Jack Bauer 10]

Hallo,

 

wir haben Probleme beim Zugriff auf Ressourcen in einer Vertrauensstellung. Folgendes Szenario: Standort 1 mit den Domänen a.local und b.a.local, bidirektionale Vertrauensstellung, läuft seit Ewigkeiten. Domäne c.local an Standort 2 wurde mit transitiver Gesamtstrukturvertrauensstellung an a.local angebunden. Ressourcen und Benutzerkonten liegen in b.a.local, User inkl. SID-History migriert nach c.local.

 

auf DC a.local

netdom trust a.local /domain:c.local /quarantine  =>  SID-Filterung ist für diese Vertrauensstellung nicht aktiviert.

netdom trust a.local /domain:c.local /enablesidhistory  =>  Der SID-Verlauf ist für diese Vertrauensstellung deaktiviert.

 

auf DC c.local

netdom trust c.local /domain:a.local /quarantine  =>  SID-Filterung ist für diese Vertrauensstellung nicht aktiviert.

netdom trust c.local /domain:a.local /enablesidhistory  =>  Der SID-Verlauf ist für diese Vertrauensstellung deaktiviert.

 

auf DC b.a.local

netdom trust b.a.local /domain:c.local /quarantine  =>  Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

netdom trust b.a.local /domain:c.local /enablesidhistory  =>  Das System kann die angegebene Datei nicht finden.

 

Auf den beiden ersten DCs lässt sich die SID-History durch die Option /enablesidhistory:yes nicht aktivieren, die Status bleiben unverändert. Auf dem dritten DC kann die Vertrauensstellung nicht erkannt werden, weil sie nur transitiv "vererbt" wird und nicht direkt besteht.

Wie kann ich nun dafür sorgen, dass die mit SID-History ausgestatteten, aus b.a.local migrierten User in c.local auf Ressourcen in b.a.local zugreifen können? Wo kann ich mit dem Troubleshooting ansetzen?

 

Vielen Dank und schöne Grüße!

 

[NilsK 2.934]

Moin,

 

Für dieses Szenario kann ich es nicht sagen, aber in einer ähnlichen Situation hat netdom sich als fehlerhaft erwiesen.

 

https://www.faq-o-matic.net/2018/12/11/ad-trusts-per-skript-einrichten/

 

Gruß, Nils

[Jack Bauer 10]

Hallo Nils,

 

danke für deinen Tipp. Zunächst dachte ich "sehr abwegig", doch im Nachhinein lagst du gar nicht so weit weg: Der Befehl

netdom trust domain.local /domain:domain.weitweg /enablesidhistory:yes

wurde zwar mit "ausgeführt" quittiert, doch funktional geändert hat sich nichts, wie in deinem Hinweis. Nach wie vor wurde "Der SID-Verlauf ist für diese Vertrauensstellung deaktiviert." angezeigt. Nach stundenlanger Suche habe ich die Lösung nun gefunden. Mit einem deutschsprachigen Betriebssystem ausgeführt muss der Befehl heißen:

netdom trust domain.local /domain:domain.weitweg /enablesidhistory:ja

Abgesetzt und alles geht - manchmal sind's die kleinen Dinge....

 

Schöne Grüße

 

 Jack

[NilsK 2.934]

Moin,

 

Wie geil. Danke für die Rückmeldung.

 

Gruß, Nils

 

[Squire 261]

ja die lieben Übersetzungen immer ... Zu OS/2 LAN Server Zeiten war der Brüller: named pipes ... in der Doku als "benannte Pfeifen" übersetzt

[NilsK 2.934]

Moin,

 

ich vermute mal, dass "ja" auch die Lösung für das Problem gewesen wäre, das in meinem oben verlinkten Blogpost genannt ist. Schau ich mir bei Gelegenheit mal an.

 

Gruß, Nils

 

[daabm 1.354]

Ja, ist es. Bei schtasks übrigens ähnlich... Das ist völlig wirr, was da lokalisiert wird und was nicht.

[NilsK 2.934]

vor 9 Stunden schrieb Squire:

ja die lieben Übersetzungen immer ... Zu OS/2 LAN Server Zeiten war der Brüller: named pipes ... in der Doku als "benannte Pfeifen" übersetzt

Moin,

 

In einer Microsoft-Schulungsunterlage war von einem Netzschalter die Rede (Network switch). Und in einer SQL-Server-Prüfung ging der Text nach einem Codebeispiel weiter mit "Bestellung von". Nach einer Viertelstunde Grübeln über den völlig unsinnigen Satz merkte ich, dass das im Original noch zum Code gehört hatte: Order by.

 

Gruß, Nils