Jump to content

Zugriff verweigert trotz korrekter Gruppenmitgliedschaft

Christoph35

Von Christoph35
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

BuzzeR Mentor

BuzzeR   10

Geschrieben
Geschrieben

Verdammte Tat ... es funktioniert. Bidirektionale, transitive Trusts und eine, wie von

Dir angegebene Domänenstruktur.

 

A vertraut B.

B vertraut A.

B vertraut C.

C vertraut B.

A vertraut C.

C vertraut A.

 

Universal Group Memberships werden über GC repliziert, aber nicht gecached.

XP - Clients warten auf's Netzwerk.

 

Replikationstopologie ist erfaßt und verifiziert.

 

Replikation läuft fehlerfrei.

 

Frage: Wo liegen die Unterschiede?

 

LG

Marco

Link zu diesem Kommentar
Christoph35 Veteran

Christoph35   10

Geschrieben
  • Autor
Geschrieben
Verdammte Tat ... es funktioniert. Bidirektionale, transitive Trusts und eine, wie von

Dir angegebene Domänenstruktur.

 

Habe auch nix anderes erwartet, als dass es funktioniert :D

 

Wo die Unterschiede sind?! Tja, das versuchen wir auch herauszufinden ....

 

Wir kommen aber heute nicht mehr dazu, das zu testen. Wir haben das Problem erstmal umgangen und können von daher ohne Druck daran gehen, die Wurzel des Problems zu suchen. Wir haben die Zugriffsberechtigung direkt an den User aus Domain B gegeben, funzt..., ich weiß, ist nicht das Gelbe vom Ei, aber der User brauchte nun mal Zugang zu den Daten auf dem Share. Wenn wir aber den tieferen Grund gefunden haben, werden wir das natürlich entsprechend anpassen.

 

Alle 3 Domains sind in-Place-migrierte Domains (NT4->AD). Wir haben damals jeweils eine VM pro Domain als temp. PDC installiert, den auf 2003 upgedatet und dann je 2 flammneue DCs hinzugefügt, alle FSMOs verschoben und dann die temp. DC aus den Domains entfernt. Ich bin mir ziemlich sicher, dass das sauber geschehen ist, bin aber gerne bereit, dass nochmal zu gegenzuchecken.

 

Falls du irgendwelche GPO Settings wissen willst, stelle ich die gerne zur Verfügung.

 

/edit: Kleine Ergänzung: habe auf dem Schema- und Dom.-Naming-Master, der auch PDC Emulator und RID-Master seiner Domain ist, mal dcdiag /v gemacht. Alle Tests: passed

 

Christoph

Link zu diesem Kommentar
MS-Wing

MS-Wing   10

Geschrieben
Geschrieben

Hallo,

 

ich bin ein Kollege von Christoph35 und verfolge auch das Problem weiter.

Microsoft wurde mitlerweile mit Infos von uns zugeballert und wir hoffen das dort ein brauchbarer Tipp herkommt. Sobald ich was höre melde ich mich.

 

Um das ganze Problem auch noch zu toppen, habe ich mal folgendes probiert:

 

User aus Domain B wird in die universelle Security Group in Domain A gepackt.

Diese Gruppe wird zum Mitglied einer universellen security Group in Domain B gemacht.

Diese wird wiederum verwendet um Zugriff auf eine Ressource in Domain A zu geben.

Ergebnis: Funktioniert einwandfrei (also so wie es im Buche steht)...

Laut unserem Problem hätte ich erwartet das es nicht funktioniert....

 

Aber wie gesagt: Verwenden wir die univ. sec. group in Domain A um Zugriff auf die Ressource zu geben, so funktioniert der Zugriff nur für Mitglieder aus Domain A und nicht für Mitglieder aus Domain B.

 

Habe ja schon viele komische Dinge gesehen, zu denen es später auch eine sinnvolle Erklärung gab. Aber das scheint wirklich etwas ganz abartiges zu sein.

 

Gruß,

 

Sascha

 

P.S.: In dem Zusammenhang noch ein kleiner Tipp. Wenn man nicht Enterprise Admin ist, sind Gruppenmitgliedschaften in anderen Domänen (wie in univ. Gruppen) nicht sichtbar. Es entsteht der Eindruck das etwas nicht stimmt. Abhilfe dazu wird im folgenden Artikel beschrieben.

http://support.microsoft.com/kb/833883/en-us

Hat man bereits Windows 2003 Server SP1, reicht das setzen des RegKeys.

Link zu diesem Kommentar
Christoph35 Veteran

Christoph35   10

Geschrieben
  • Autor
Geschrieben

Hallo zusammen,

 

mal wieder Zeit für ein Update des Threads ;)

 

hier sind unsere neuesten Beobachtungen:

 

In der Forest Root Domäne (a.firma.com):

Benutzer aus B -> Universelle Gruppe in A -> Zugriff auf Ressource in A -> Access Denied

Diese universelle Gruppe in A -> Domain Local Group in A -> Zugriff auf Ressource in A -> Access Denied

 

Benutzer aus B -> Domain Local Group in A -> Zugriff auf Ressource -> Access OK!

 

Benutzer aus B -> Universelle Gruppe in A -> Universelle Gruppe in B -> Zugriff auf Ressource in A -> Access OK!

 

Die universellen Gruppen in A.firma.com verhalten sich "komisch" in der Domäne A, aber korrekt in den anderen Domänen.

 

Wir haben jetzt noch mal mit NLTest /sc_verify und nltest /domain_trusts /alltrusts /v die Vertrauensstellungen und die Secure Channels von jeder Domain zu allen anderen Domains getestet. Ergebnis überall successful... Die Trusts dürften damit als Fehlerquelle ausscheiden, und das Problem scheint wohl nur die Forest-Root Domain A zu betreffen.

 

So langsam gehen uns die Ideen aus...

 

Christoph

Link zu diesem Kommentar
Christoph35 Veteran

Christoph35   10

Geschrieben
  • Autor
Geschrieben

Hallo mal wieder in diesem Theater...

 

wir suchen immer noch nach der Ursache für unser Problem, auch MS hat das ganze jetzt in den Second Level Support eskaliert, nachdem der 1st Level mehr als eine Woche Logs analysiert hat und keine Ideen mehr hat. :eek:

 

Ich denke, wir werden da mal auf Packet-Ebene (network sniffing) forschen müssen :shock: :cry: . Sobald wir was neues finden oder MS sich meldet, gibts wieder ein Update.

 

In der Zwischenzeit: falls jemand Ideen hat, immer her damit.... :D :cool:

 

Christoph

Link zu diesem Kommentar
BuzzeR Mentor

BuzzeR   10

Geschrieben
Geschrieben

Hi Sascha.

 

Mir bereitet Euer Migrationsszenario zwar keine Kopfschmerzen, aber ich schätze,

dass da aus Sicht von Microsoft der Hund begraben liegt, bzw. das Euer Problem

daraus resultiert. Frag mich aber nicht wieso! ;)

 

Ich habe im Bezug auf NT4 - Migrationen immer die Minasi-Nummer gemacht,

also wichtig mit netdom, ADMT und RegHacks rumgezaubert - hat auch bis

dato immer geklappt, aber ein solches Verhalten wie bei Euch ist mir mal

sowas von unbekannt. :D Aber man lernt ja und die Supporter bei MS sollen

ja auch ihre Daseinsberechtigung haben und selbige zum Wohle des Kunden

unter Beweis stellen.

 

Soll heißen, ich bin wirklich gespannt. Zumal ich mir nicht vorstellen kann, dass

Ihr bei der Migration grobe Patzer gemacht habt - ist ja alles ausreichend gut

dokumentiert.

 

LG

Marco

Link zu diesem Kommentar
MS-Wing

MS-Wing   10

Geschrieben
Geschrieben

Hi Marco,

 

die Migration war easy going. Es waren 3 NT-Domänen, die sich alle untereinander vertrauen. Dann haben wir nach und nach alle Domänen inplace upgedated auf AD-2003.

ADMT war nicht mit im Spiel. Unsere produktiven 2003-DCs sind aber keine upgedateten NT4er-DCs. Vom upgedateten NT4-DC haben wir alle Rollen auf die neuen 2003er-DCs (neue Hardware) verteilt und dann diesen aus der Domäne entfernt. Somit haben wir "saubere" 2003er DCs. Naja, zumindest dachten wir das bis wir das Problem erstmal bemerkten :wink2:

 

Gruß,

 

Sascha

Link zu diesem Kommentar
Christoph35 Veteran

Christoph35   10

Geschrieben
  • Autor
Geschrieben
Mir bereitet Euer Migrationsszenario zwar keine Kopfschmerzen, aber ich schätze,

dass da aus Sicht von Microsoft der Hund begraben liegt, bzw. das Euer Problem

daraus resultiert. Frag mich aber nicht wieso! ;)

 

Tja, ich weiß nicht, ich habe auch seit einiger Zeit das Gefühl, dass irgendwas bei der Migration nicht 110% so gelaufen sein könnte, wie es sein sollte. Obwohl mir da auf Anhieb nix einfällt, denn wie Sascha schon schrieb: eigentlich war s easy going...

 

Im Prinzip müsste man die ganzen Steps, die wir damals mit den NT Domains gemacht haben, noch mal per VMs nachbauen und schauen, wie sich eine solche Testumgebung verhält... :eek: Unsere Lab Tests zu diesem Problem sind ja immer in AD-Domains gelaufen, die von Grund auf AD-Domains waren.

 

Das könnte aber ganz schön aufwändig werden... und 2-3 Rechner nur für VMs beanspruchen :shock:

 

Falls MS keine Lösung in absehbarer Zeit liefert, kommen wir da vllt. nicht drum rum.

 

Aber jetzt warten wir erst mal auf MS ;)

 

Christoph

Link zu diesem Kommentar
BuzzeR Mentor

BuzzeR   10

Geschrieben
Geschrieben

@Sascha && Christoph

Nun, "Easy Going" war bei mir leider noch bei keiner Migration Phase, mag aber

an den jeweiligen Szenarien gelegen haben.

 

Ich persönlich präferiere ja den Kahlschlag - wegen meiner rustikalen Natur. ;)

 

Wäre einfach nur schön, wenn ihr das Ergebnis des Debuggings seitens MS

hier veröffentlicht, um mal eine grobe Hauptschußrichtung zu kennen, wo das

Problem eigentlich beheimatet ist.

 

LG

Marco

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...