主页 / user-526383

Sranda's questions

Martin Hope
Sranda
Asked: 2025-02-27 18:16:10 +0800 CST
  • 5

我正在公司执行域迁移项目(许多单站点域合并到一个全局 AD)。

我已经迁移了用户、计算机和组(使用 Quest 按需迁移工具)。并且我已验证 SID 历史记录已正确写入用户+组帐户。我可以看到用户和组的 SIDHistory 属性都已填充正确的值。

迁移到新域的用户帐户尝试访问旧域中的文件服务器,在旧域文件服务器的日志中,我看到:

检查网络共享对象以查看是否可以授予客户端所需的访问权限。

Subject:
    Security ID:        NEWDOMAIN\admig2
    Account Name:       admig2
    Account Domain:     NEWDOMAIN
    Logon ID:       0x1B7Dxxxx

Network Information:    
    Object Type:        File
    Source Address:     10.ab.cd.ef
    Source Port:        49782
    
Share Information:
    Share Name:     \\*\SHARE
    Share Path:     \??\D:\SHARE
    Relative Target Name:   \

Access Request Information:
    Access Mask:        0x80
    Accesses:       ReadAttributes
                
Access Check Results:
    ReadAttributes: Not granted

我在旧域和新域中都运行了以下命令:

旧域名

netdom trust <old domain fqdn> /domain:<new domain FQDN> /enablesidhistory:yes
netdom trust <old domain fqdn> /domain:<new domain FQDN> /quarantine:no

新域名

netdom trust <new domain FQDN> /domain:<old domain fqdn> /enablesidhistory:yes
netdom trust <new domain FQDN> /domain:<old domain fqdn> /quarantine:no

已经过去几个小时了,所以所有内容都应该复制到所有地方。但是,当我尝试使用迁移用户的凭据访问文件共享时,我遇到了同样的错误:访问被拒绝,请咨询您的管理员

除了关闭 SIDfiltering 和迁移用户组之外,还有其他我需要检查的、而我在上面的帖子中遗漏的区域吗?谢谢。

其中一个测试的结果: 我相信我已经排除了 NTLM 罪魁祸首 - 不是它。当我为所有人共享新文件夹以供 R/W 时,在安全 ACL 中,我授予 OLDDOMAIN\admig2 此新共享的权限,NEWDOMAIN\admig2 可以访问此共享。它仍然是 OLDDOMAIN 加入的文件服务器。这些症状让我感到困惑。是的,OLDDOMAIN\Domain users 是一个域本地组,而 NEWDOMAIN\admig2 不是它的成员,但这是 SidHistory 应该发挥作用的地方,由于旧 SID 是 OLDDOMAIN\Domain Users 的成员,我相信这应该仍然有效,但事实并非如此。或者......?

我明天将继续测试。

active-directory
Martin Hope
Sranda
Asked: 2024-10-23 17:20:54 +0800 CST
  • 7

作为 VEEAM 新手,我可能会解决对于 VEEAM 专家来说微不足道的问题。

在 Veeam 12.2 和 vCenter 8.0.3 上,我的问题是 ESXi 主机具有多个网络,这导致 Veeam 感到困惑。有管理网络和vMotion网络。vCenter 中的主机定义如下:

vCenter 主机

问题是,Veeam 无法备份单个虚拟机。日志中充满了以下错误:

22.10.2024 11:17:51.481] <  1436> vdl      | [vddk] CnxOpenTCPSocket: Cannot connect to server 172.16.0.13:902: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond
[22.10.2024 11:17:51.481] <  1436> vdl      | [vddk] CnxAuthdConnect: Returning false because CnxAuthdConnectTCP failed
[22.10.2024 11:17:51.481] <  1436> vdl      | [vddk] CnxConnectAuthd: Returning false because CnxAuthdConnect failed
[22.10.2024 11:17:51.481] <  1436> vdl      | [vddk] Cnx_Connect: Returning false because CnxConnectAuthd failed
[22.10.2024 11:17:51.481] <  1436> vdl      | [vddk] Cnx_Connect: Error message: Failed to connect to server 172.16.0.13:902
[22.10.2024 11:17:51.481] <  1436> vdl      | WARN|[vddk] warn [NFC ERROR]NfcNewAuthdConnectionEx: Failed to connect: Failed to connect to server 172.16.0.13:902
[22.10.2024 11:17:51.481] <  1436> vdl      | WARN|[vddk] warn [NFC ERROR]NfcNewAuthdConnectionEx: Failed to connect to peer. Error: Failed to connect to server 172.16.0.13:902
[22.10.2024 11:17:51.481] <  1436> vdl      | WARN|[vddk] warn [NFC ERROR]NfcEstablishAuthCnxToServer: Failed to create new AuthD connection: Failed to connect to server 172.16.0.13:902
[22.10.2024 11:17:51.481] <  1436> vdl      | WARN|[vddk] warn [NFC ERROR]Nfc_BindAndEstablishAuthdCnx3: Failed to create a connection with server 172.16.0.13: Failed to connect to server 172.16.0.13:902
[22.10.2024 11:17:51.481] <  1436> vdl      | [vddk] NBD_ClientOpen: Couldn't connect to 10.250.100.13:902 Failed to connect to server 172.16.0.13:902

值得注意的是,172.16.0.0/24 在 VMWare 之外无法访问(即 VEEAM 也无法访问)。

如何让 Veeam 连接到 10.250.100.0/24 而不是 172.16.0.0/24?

在 VEEAM 中配置 vCenter“对象”期间,从 VEEAM 到 vCenter 的连接运行正常(正确的凭据、网络可见性......)

提前致谢

vmware-vcenter