derschakal83
Goto Top

Windows Server 2008 R2 - SIDs werden bei den NTFS-Berechtigungen nicht richtig aufgelöst

Hallo zusammen,

ich habe hier gerade ein mir unerklärliches Phänomen auf einem Windows Server 2008 R2 (64-Bit).
Der Rechner dient als Fileserver für diverse Abteilungs-Laufwerke, daher sind also auch NTFS-Berechtigungen gesetzt. Wenn ich nun auf die Eigenschaften eines solchen Abteilungs-Ordners klicke und in den Reiter "Sicherheit" schaue, werden dort statt den Gruppen- und Benutzernamen nur die SID's angezeigt.
Das Problem tritt aber nicht immer, sondern scheinbar willkürlich auf. Schließe ich das Eigenschaften-Fenster und öffne es nach ein paar Minuten wieder, kann es sein das die Benutzer und Gruppen wieder korrekt angezeigt werden.
Dann verschwinden sie aber irgendwann auch mal wieder.
Die Benutzer können aber zum Glück weiterhin auf die Freigaben zugreifen, auch wenn die SID's nicht richtig übersetzt werden.
Aber es wird halt irgendwann blöd werden wenn man mal was ändern will. Da blickt ja kein Mensch mehr durch, der das Problem nicht kennt. Außerdem weiß ich nicht, ob ich da wirklich meine Produktiv-Daten drauf ablegen will. Das ganze wirkt nicht sonderlich Vertrauens erweckend.

957715886a68607cec1b29ed98305abd-ntfs

Unsere Domäne arbeitet im Windows 2000 pur-Modus.

Hatte jemand von euch vielleicht das gleiche Problem, und kennt eine Lösung?

Danke schonmal!

Gruß Tobi

Content-ID: 125957

Url: https://administrator.de/forum/windows-server-2008-r2-sids-werden-bei-den-ntfs-berechtigungen-nicht-richtig-aufgeloest-125957.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

bundlerteufl
bundlerteufl 28.09.2009 um 18:22:32 Uhr
Goto Top
hi tobi

das Prob besteht wenn der AD-Server nicht immer sauber erreichbar ist wegen netztwerkschwankungen z.b.
desweiteren empfehle ich dir deine domain auf 2k3 hochzustufen da dann dein filer und die AD besser miteinnander komunizieren.

aber du kannst ruhig deine prodiktiv daten darauf schieben weil ja der name bei der authentifizierung sowieso in die SID umgewandelt wird und somit funkt ja der zugriff
DerWoWusste
DerWoWusste 30.09.2009 um 00:20:54 Uhr
Goto Top
Hi bundlerteufl!
Was meinst Du in diesem Zusammenhang mit
desweiteren empfehle ich dir deine domain auf 2k3 hochzustufen da dann dein filer und die AD besser miteinnander komunizieren.
wenn ich fragen darf?

@derschakal83
Die SID wird aufgelöst, indem der DC kontaktiert wird. Gibt es da Probleme (Namensauflösung/DNS/Konnektivität), kann es dazu kommen. Abhilfe wird schwierig. Fang mal mit der Namensauflösung am FS an. Nutz dazu nslookup und für SID-Tests SID2User oder USER2SID von hier: http://evgenii.rudnyi.ru/soft/sid/ - keine Sorge, die Software ist renommiert.
derschakal83
derschakal83 30.09.2009 um 20:14:56 Uhr
Goto Top
Hallo zusammen,

erstmal danke für eure Antworten.

Die Namensauflösung funktioniert soweit korrekt. Auch die SID's sind korrekt, und gehören zu den passenden Benutzern/Gruppen.
Es tritt so wie's aussieht wirklich nur an dem Server 2008 R2-Server auf, bei allen anderen Fileservern (2000, 2003, 2003R2, 2008) tritt dieses Problem nicht auf.

Es wäre jetzt natürlich noch interessant zu wissen ob jemand mal dasselbe Problem hatte und mit einer "Hochstufung" seiner Domäne dieses Phänomen beseitigen konnte. Wenn es wirklich daran liegen sollte, wäre das Problem ja relativ leicht zu beheben...

Gruß Tobi
grajo1
grajo1 30.04.2010 um 14:59:06 Uhr
Goto Top
Hallo Tobi,

bei mir hat sich das gleiche Problem ergeben.

Konntest Du inzwischen eine Lösung finden?

viele Grüße,
Jochen
derschakal83
derschakal83 30.04.2010 um 16:04:18 Uhr
Goto Top
Hallo Jochen,

so wie es aussieht hat sich das Problem bei uns gelöst. Wir haben unseren Domänen-Modus vor einer Weile auf 2003 hochgestuft. Seitdem haben wir unsere eigenen Daten (von der EDV) testweise auf einen 2008R2-Server ausgelagert. Hier trat das Phänomen dann nicht mehr auf.

Gruß Tobi
silversurfer
silversurfer 18.05.2010 um 08:17:49 Uhr
Goto Top
Hallo Tobi,

ich habe hier bei uns in der Firma das gleiche Problem. Domänen Modus 2000 und einen neuen Fileserver mit Windows 2008 R2.
Die SID´s werden manchmal übersetzt, dann funktioniert es mal wieder nicht, usw.
Bin jetzt erst auf diesen Beitrag gestoßen.
Liegt es definitiv daran, dass die Domäne auf Windows 2003 hochgestuft werden muss, damit die SID´s richtig angezeigt werden?
Wenn ja, dann muss ich unseren W2K Domänencontroller ersetzen.

Gruß Markus
derschakal83
derschakal83 18.05.2010 um 10:10:17 Uhr
Goto Top
Hallo Markus,

seit wir unsere Domäne hochgestuft haben, gibt es diese SID-Probleme nicht mehr. Da wir an unserer Struktur sonst nichts geändert haben tippe ich mal zu 99% drauf, dass es daran lag. face-wink
Kannst ja Bescheid geben, obs bei euch dann auch geklappt hat.

Gruß Tobi
DerWoWusste
DerWoWusste 18.05.2010 um 11:23:04 Uhr
Goto Top
Ich halte zu 99% dagegen, dass es mit dem Funktionslevel zu tun hat - warum auch? Die SIDs stehen in den ACLs. Beim Aufruf des Berechtigungsdialoges wird der DC kontaktiert, wenn es um Domänenkonten geht. Bestehen Konnektivitätsprobleme, werden diese langsam oder gar nicht aufgelöst. K.-Probleme können sein: Firewalls, die spinnen, extreme Netzwerkflaschenhälse und vor allem: verkehrte DNS-Einträge am Client.
Da Du aber eh einen 2000er DC hast und 2000 bald (diesen Juli) keine Sicherheitsupdates mehr bekommt, musst Du eh eine Hochstufung machen.
silversurfer
silversurfer 18.05.2010 um 12:38:45 Uhr
Goto Top
Hallo,

danke für die Infos.
Ich denke dass ich die Domäne in nächster Zeit hochstufen werde und hoffe dass dann die SID´s richtig angezeigt werden face-smile

Gruß
Markus
derschakal83
derschakal83 18.05.2010 um 13:15:36 Uhr
Goto Top
Firewalls und ähnliches haben wir damals alles geprüft.

Mir ist schon klar, dass bei den Abfragen der DC kontaktiert wird. Aber wer weiß was sich zwischenzeitlich bei der Art der Abfrage unter der Haube geändert hat? Vielleicht wurde das Timeout fürs Auflösen der ACLs bei 2008R2 verringert, und die Verbindung mit einem 2000er-DC kann nicht schnell genug statt finden? (Nur mal so'n Gedankengang).
Ich wüsste also nicht, warum es NICHT mit dem Funktionslevel zu tun haben sollte?

Aber wie DerWoWusste schon erwähnte, hochzustufen ist sicher kein Fehler face-wink
rovo13
rovo13 21.04.2016 um 16:11:05 Uhr
Goto Top
Aktiviere SMB 1.0 dann ist der Fall erledigt.