10
Fehler AD 2012?
Guten Tag
Wir haben vor 3 Wochen eine Migration unseres AD von 2003 auf 2012 gemacht.
Nach tagelangen Anpassungen unseres Hederogenen Netzwerkes sind alle grösseren Baustellen erledigt!
Aber ein großes Problem ist geblieben:
Berechtigungen Systemintern auf dem jeweiligen Server funktionieren. Man kann Postfächer auf dem Groupwareserver freigenen und andere Nutzer können darauf arbeiten. Aber leider nur Lokal, sprich per Webaccess. Beim Versuch das selbe per Client zu nutzen, wird der Zugriff mit fehlenden Berechtigungen geblockt!
Der beitritt zum AD gelingt mit den ESX-Servern fehlerfrei, SSO stattdessen geht nicht! Man kann DomainUser nicht hinzufügen!
Hat jemand eine Ahnung woran das liegen könnte?
Fehler werden auf dem Domaincontroller nicht angezeigt!
mfg M.Semisch
Wir haben vor 3 Wochen eine Migration unseres AD von 2003 auf 2012 gemacht.
Nach tagelangen Anpassungen unseres Hederogenen Netzwerkes sind alle grösseren Baustellen erledigt!
Aber ein großes Problem ist geblieben:
Berechtigungen Systemintern auf dem jeweiligen Server funktionieren. Man kann Postfächer auf dem Groupwareserver freigenen und andere Nutzer können darauf arbeiten. Aber leider nur Lokal, sprich per Webaccess. Beim Versuch das selbe per Client zu nutzen, wird der Zugriff mit fehlenden Berechtigungen geblockt!
Der beitritt zum AD gelingt mit den ESX-Servern fehlerfrei, SSO stattdessen geht nicht! Man kann DomainUser nicht hinzufügen!
Hat jemand eine Ahnung woran das liegen könnte?
Fehler werden auf dem Domaincontroller nicht angezeigt!
mfg M.Semisch
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 223252
Url: https://administrator.de/contentid/223252
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo M.,
was meinst du mit heterogenen Netzwerk? Auf welcher Basis?
Außerdem sprichst du von Lokal (WebAccess != Lokal?) - welcher Client?
S.o.
Was ist der Domaincontroller?
was meinst du mit heterogenen Netzwerk? Auf welcher Basis?
Außerdem sprichst du von Lokal (WebAccess != Lokal?) - welcher Client?
S.o.
Was ist der Domaincontroller?
Ich meine wir haben einen 2012'er Domaincontroller, welcher aber im 2003'er Modus läuft.
Einen Zarafa GroupwareServer welcher per LDAP am AD hängt (Linux).
Beim Zarafa wird der Webaccess im LAN per Apache realisiert und ist demnach auf der Maschine.
mfg M.Semisch
Einen Zarafa GroupwareServer welcher per LDAP am AD hängt (Linux).
Beim Zarafa wird der Webaccess im LAN per Apache realisiert und ist demnach auf der Maschine.
mfg M.Semisch
OK und was geht jetzt nicht? Das SSO per Browser? Das SSO per Client (welchem?).
Der ESX ist in dem Szenario total irrelevant.
Der ESX ist in dem Szenario total irrelevant.
OK. Lassen wir das SSo beim ESX mal ausser acht.
Ich kann innerhalb des Outlooks nicht auf die Ordnerfreigabe im anderen Postfach zugreifen, obwohl das selbe bei Nutzung des Webaccesses funktioniert!
Also von einem Outlook auf Rechner A zu dem freigegebenen Ordner in dem Oulook auf Rechner B.
Dieses Szenario hat übrigens bei dem Win 2003 als Domaincontroller funktioniert!
Ich kann innerhalb des Outlooks nicht auf die Ordnerfreigabe im anderen Postfach zugreifen, obwohl das selbe bei Nutzung des Webaccesses funktioniert!
Also von einem Outlook auf Rechner A zu dem freigegebenen Ordner in dem Oulook auf Rechner B.
Dieses Szenario hat übrigens bei dem Win 2003 als Domaincontroller funktioniert!
Gabs denn irgendwelche Fehler bei der DC-Migration?
Funktioniert die Namensauflösung und die AD-Authentifizierung mit den jeweils benötigten Computer-/Admin-/Benutzerkonten von allen beteiligten Servern und beispielhaft einem Client zum DC? Gibt es den "_msdcs"-Baum mit korrekten Einträgen im DNS in der eigenen Domäne (manch einer löscht das ja, weils dann schöner/sauberer aussieht, stört aber zum Beispiel DCOM-Aufrufe)
Was sagt DCDiag? Laufen die FSMO-Rollen auch auf dem "primären" DC (auch wenn es den PDC in der ursprünglichen Form nicht mehr gibt
)
Gibts denn irgendwelche Events auf einem der beteiligten Server zum Zeitpunkt des Zugriffsversuchs?
Ist bei allen beteiligten Servern und Clients der neue DC mit Name und IP "bekannt"?
Hast du schon mal einen neuen Client aufgesetzt und Outlook mit einem neuen Profil eingerichtet?
Funktioniert die Namensauflösung und die AD-Authentifizierung mit den jeweils benötigten Computer-/Admin-/Benutzerkonten von allen beteiligten Servern und beispielhaft einem Client zum DC? Gibt es den "_msdcs"-Baum mit korrekten Einträgen im DNS in der eigenen Domäne (manch einer löscht das ja, weils dann schöner/sauberer aussieht, stört aber zum Beispiel DCOM-Aufrufe)
Was sagt DCDiag? Laufen die FSMO-Rollen auch auf dem "primären" DC (auch wenn es den PDC in der ursprünglichen Form nicht mehr gibt
)Gibts denn irgendwelche Events auf einem der beteiligten Server zum Zeitpunkt des Zugriffsversuchs?
Ist bei allen beteiligten Servern und Clients der neue DC mit Name und IP "bekannt"?
Hast du schon mal einen neuen Client aufgesetzt und Outlook mit einem neuen Profil eingerichtet?
Hallo,
Welche Funktionsebenen laufen denn?
Hast du zufällig einen read Only DC installiert?
Welche Funktionsebenen laufen denn?
Hast du zufällig einen read Only DC installiert?
Hallo zusammen
Das AD wurde nicht migriert sonder komplett neu aufgezogen, jede Workstation wurde mit neuem Profil hinzugefügt und bis jetzt sind eigentlich in Sachen berechtigungen keine Fehler aufgetreten.
Bei den Freigaben musste die alte AD-ID noch entfernt und die neuen Berechtigungen eingetragen werden!
In den Windows-Logs der Maschinen mit Outlook steht neuerdings, das auf die Freigegeben Outlook-Ordner kein zugriff möglich sei und das wars!
mfg M.Semisch
Das AD wurde nicht migriert sonder komplett neu aufgezogen, jede Workstation wurde mit neuem Profil hinzugefügt und bis jetzt sind eigentlich in Sachen berechtigungen keine Fehler aufgetreten.
Bei den Freigaben musste die alte AD-ID noch entfernt und die neuen Berechtigungen eingetragen werden!
In den Windows-Logs der Maschinen mit Outlook steht neuerdings, das auf die Freigegeben Outlook-Ordner kein zugriff möglich sei und das wars!
mfg M.Semisch
Du hast also auch den Zafara-Server aus der altern Domäne entfernt und in die neue Domäne aufgenommen?
ich hoffe aber, dass deine neue Domäne anders heißt als die alte ???
Die alte Domain und die neue heissen gleich, haben aber keinen Kontakt zueinander gehabt, da anderes C-Netz und DHCP off. Wie gesagt wurden alle Profile händisch neu angelegt und der DC komplett neu erstellt (nicht migriert)! Die Benutzerprofile im Add wurden neu erstellt und die alten Mail-Stores wieder angebunden nach dem hinzufügen zum neuen AD.
m.semisch
m.semisch
