Início / user-526383

Sranda's questions

Martin Hope
Sranda
Asked: 2025-02-27 18:16:10 +0800 CST
  • 5

Estou executando um projeto de migração de domínio (vários domínios de site único mesclados em um AD global) na minha empresa.

Migrei usuários, computadores e grupos (usando a ferramenta de migração on-demand Quest) e verifiquei se o histórico do SID está sendo gravado corretamente nas contas de usuário+grupo. Posso ver o atributo SIDHistory preenchido para usuários e grupos com valores corretos.

A conta do usuário que é migrada para o novo domínio tenta acessar um servidor de arquivos no domínio antigo, no log do old-domain-fileserver, vejo:

Um objeto de compartilhamento de rede foi verificado para ver se o cliente pode receber o acesso desejado.

Subject:
    Security ID:        NEWDOMAIN\admig2
    Account Name:       admig2
    Account Domain:     NEWDOMAIN
    Logon ID:       0x1B7Dxxxx

Network Information:    
    Object Type:        File
    Source Address:     10.ab.cd.ef
    Source Port:        49782
    
Share Information:
    Share Name:     \\*\SHARE
    Share Path:     \??\D:\SHARE
    Relative Target Name:   \

Access Request Information:
    Access Mask:        0x80
    Accesses:       ReadAttributes
                
Access Check Results:
    ReadAttributes: Not granted

Executei os seguintes comandos em domínios antigos e novos:

domínio antigo

netdom trust <old domain fqdn> /domain:<new domain FQDN> /enablesidhistory:yes
netdom trust <old domain fqdn> /domain:<new domain FQDN> /quarantine:no

novo domínio

netdom trust <new domain FQDN> /domain:<old domain fqdn> /enablesidhistory:yes
netdom trust <new domain FQDN> /domain:<old domain fqdn> /quarantine:no

Já se passaram algumas horas, então tudo deve ser replicado em todos os lugares. Ainda assim, estou recebendo o mesmo erro ao tentar acessar o compartilhamento de arquivos com a credencial do usuário migrado: acesso negado, pergunte ao seu administrador

Além de desligar o SIDfiltering e migrar grupos de usuários também, há alguma outra área que eu preciso verificar e que esqueci no meu post acima? Obrigado.

Resultado de um dos testes: Acredito que descartei o culpado NTLM - não é ele. Quando compartilho uma nova pasta para R/W para todos e na ACL de segurança, dou permissão ao OLDDOMAIN\admig2 para esse novo compartilhamento, o NEWDOMAIN\admig2 pode acessar esse compartilhamento. Ele ainda é o servidor de arquivos unido ao OLDDOMAIN. Estou confuso com esses sintomas. Sim, OLDDOMAIN\Domain users é um grupo local de domínio e NEWDOMAIN\admig2 não é membro dele, mas é aqui que o SidHistory deve entrar em ação e, devido ao antigo SID ser membro do OLDDOMAIN\Domain Users, acredito que isso ainda deve funcionar, mas não funciona. Ou...?

Continuarei com os testes amanhã.

active-directory
Martin Hope
Sranda
Asked: 2024-10-23 17:20:54 +0800 CST
  • 7

Como sou novo no VEEAM, posso estar solucionando problemas que são triviais para especialistas em VEEAM.

No Veeam 12.2 e no vCenter 8.0.3, meu problema é que os hosts ESXi têm várias redes, o que causa confusão no Veeam. Há a rede de gerenciamento e há a rede vMotion . Os hosts no vCenter são definidos da seguinte forma:

Hosts do vCenter

O problema é que o Veeam não consegue fazer backup de uma única VM. O log está cheio desses erros:

22.10.2024 11:17:51.481] <  1436> vdl      | [vddk] CnxOpenTCPSocket: Cannot connect to server 172.16.0.13:902: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond
[22.10.2024 11:17:51.481] <  1436> vdl      | [vddk] CnxAuthdConnect: Returning false because CnxAuthdConnectTCP failed
[22.10.2024 11:17:51.481] <  1436> vdl      | [vddk] CnxConnectAuthd: Returning false because CnxAuthdConnect failed
[22.10.2024 11:17:51.481] <  1436> vdl      | [vddk] Cnx_Connect: Returning false because CnxConnectAuthd failed
[22.10.2024 11:17:51.481] <  1436> vdl      | [vddk] Cnx_Connect: Error message: Failed to connect to server 172.16.0.13:902
[22.10.2024 11:17:51.481] <  1436> vdl      | WARN|[vddk] warn [NFC ERROR]NfcNewAuthdConnectionEx: Failed to connect: Failed to connect to server 172.16.0.13:902
[22.10.2024 11:17:51.481] <  1436> vdl      | WARN|[vddk] warn [NFC ERROR]NfcNewAuthdConnectionEx: Failed to connect to peer. Error: Failed to connect to server 172.16.0.13:902
[22.10.2024 11:17:51.481] <  1436> vdl      | WARN|[vddk] warn [NFC ERROR]NfcEstablishAuthCnxToServer: Failed to create new AuthD connection: Failed to connect to server 172.16.0.13:902
[22.10.2024 11:17:51.481] <  1436> vdl      | WARN|[vddk] warn [NFC ERROR]Nfc_BindAndEstablishAuthdCnx3: Failed to create a connection with server 172.16.0.13: Failed to connect to server 172.16.0.13:902
[22.10.2024 11:17:51.481] <  1436> vdl      | [vddk] NBD_ClientOpen: Couldn't connect to 10.250.100.13:902 Failed to connect to server 172.16.0.13:902

Vale ressaltar que 172.16.0.0/24 não é acessível fora do VMWare (ou seja, também não é acessível para VEEAM).

Como posso fazer com que o Veeam se conecte a 10.250.100.0/24 e não a 172.16.0.0/24?

Durante a configuração do "objeto" do vCenter no VEEAM, a conexão do VEEAM ao vCenter funciona perfeitamente (credenciais corretas, visibilidade da rede, ...)

desde já, obrigado

vmware-vcenter