Início / server / Perguntas / 1173792
Accepted
Sranda
Asked: 2025-02-27 18:16:10 +0800 CST

Migração de domínio, SIDHistory e incapacidade de acessar recursos entre domínios

  • 772

Estou executando um projeto de migração de domínio (vários domínios de site único mesclados em um AD global) na minha empresa.

Migrei usuários, computadores e grupos (usando a ferramenta de migração on-demand Quest) e verifiquei se o histórico do SID está sendo gravado corretamente nas contas de usuário+grupo. Posso ver o atributo SIDHistory preenchido para usuários e grupos com valores corretos.

A conta do usuário que é migrada para o novo domínio tenta acessar um servidor de arquivos no domínio antigo, no log do old-domain-fileserver, vejo:

Um objeto de compartilhamento de rede foi verificado para ver se o cliente pode receber o acesso desejado.

Subject:
    Security ID:        NEWDOMAIN\admig2
    Account Name:       admig2
    Account Domain:     NEWDOMAIN
    Logon ID:       0x1B7Dxxxx

Network Information:    
    Object Type:        File
    Source Address:     10.ab.cd.ef
    Source Port:        49782
    
Share Information:
    Share Name:     \\*\SHARE
    Share Path:     \??\D:\SHARE
    Relative Target Name:   \

Access Request Information:
    Access Mask:        0x80
    Accesses:       ReadAttributes
                
Access Check Results:
    ReadAttributes: Not granted

Executei os seguintes comandos em domínios antigos e novos:

domínio antigo

netdom trust <old domain fqdn> /domain:<new domain FQDN> /enablesidhistory:yes
netdom trust <old domain fqdn> /domain:<new domain FQDN> /quarantine:no

novo domínio

netdom trust <new domain FQDN> /domain:<old domain fqdn> /enablesidhistory:yes
netdom trust <new domain FQDN> /domain:<old domain fqdn> /quarantine:no

Já se passaram algumas horas, então tudo deve ser replicado em todos os lugares. Ainda assim, estou recebendo o mesmo erro ao tentar acessar o compartilhamento de arquivos com a credencial do usuário migrado: acesso negado, pergunte ao seu administrador

Além de desligar o SIDfiltering e migrar grupos de usuários também, há alguma outra área que eu preciso verificar e que esqueci no meu post acima? Obrigado.

Resultado de um dos testes: Acredito que descartei o culpado NTLM - não é ele. Quando compartilho uma nova pasta para R/W para todos e na ACL de segurança, dou permissão ao OLDDOMAIN\admig2 para esse novo compartilhamento, o NEWDOMAIN\admig2 pode acessar esse compartilhamento. Ele ainda é o servidor de arquivos unido ao OLDDOMAIN. Estou confuso com esses sintomas. Sim, OLDDOMAIN\Domain users é um grupo local de domínio e NEWDOMAIN\admig2 não é membro dele, mas é aqui que o SidHistory deve entrar em ação e, devido ao antigo SID ser membro do OLDDOMAIN\Domain Users, acredito que isso ainda deve funcionar, mas não funciona. Ou...?

Continuarei com os testes amanhã.

active-directory

1 respostas

  1. Best Answer

    A explicação e solução para o problema é a seguinte:

    • O compartilhamento de arquivos no domínio de origem, no nível da pasta raiz, usou usuários OLDDOMAIN\Domain como grupo de travessia
    • as associações de novos usuários de domínio e grupos de domínio antigo são vinculadas, desde que o grupo de domínio antigo também seja migrado
    • OLDDOMAIN\Os usuários do domínio nunca foram e nunca serão sujeitos à migração, obviamente

    O grupo Domain Users é um grupo interno específico para cada domínio, e seu SID não é migrado ou replicado entre domínios. Isso significa que, mesmo com a migração do histórico de SID, os usuários movidos para o domínio NEWDOMAIN não serão membros do domínio OLDDOMAIN\Domain Users

    A solução foi bastante simples: criar um grupo universal (pode ser global) do AD no novo NEWDOMAIN e configurá-lo como um grupo de passagem adequado no servidor de arquivos unido ao antigo domínio.

    Por que isso está definido da maneira que está no antigo domínio está além da minha compreensão (não só minha).

    • 0

relate perguntas