11
Windows Server 2008 R2 - SIDs werden bei den NTFS-Berechtigungen nicht richtig aufgelöst
Hallo zusammen,
ich habe hier gerade ein mir unerklärliches Phänomen auf einem Windows Server 2008 R2 (64-Bit).
Der Rechner dient als Fileserver für diverse Abteilungs-Laufwerke, daher sind also auch NTFS-Berechtigungen gesetzt. Wenn ich nun auf die Eigenschaften eines solchen Abteilungs-Ordners klicke und in den Reiter "Sicherheit" schaue, werden dort statt den Gruppen- und Benutzernamen nur die SID's angezeigt.
Das Problem tritt aber nicht immer, sondern scheinbar willkürlich auf. Schließe ich das Eigenschaften-Fenster und öffne es nach ein paar Minuten wieder, kann es sein das die Benutzer und Gruppen wieder korrekt angezeigt werden.
Dann verschwinden sie aber irgendwann auch mal wieder.
Die Benutzer können aber zum Glück weiterhin auf die Freigaben zugreifen, auch wenn die SID's nicht richtig übersetzt werden.
Aber es wird halt irgendwann blöd werden wenn man mal was ändern will. Da blickt ja kein Mensch mehr durch, der das Problem nicht kennt. Außerdem weiß ich nicht, ob ich da wirklich meine Produktiv-Daten drauf ablegen will. Das ganze wirkt nicht sonderlich Vertrauens erweckend.
Unsere Domäne arbeitet im Windows 2000 pur-Modus.
Hatte jemand von euch vielleicht das gleiche Problem, und kennt eine Lösung?
Danke schonmal!
Gruß Tobi
ich habe hier gerade ein mir unerklärliches Phänomen auf einem Windows Server 2008 R2 (64-Bit).
Der Rechner dient als Fileserver für diverse Abteilungs-Laufwerke, daher sind also auch NTFS-Berechtigungen gesetzt. Wenn ich nun auf die Eigenschaften eines solchen Abteilungs-Ordners klicke und in den Reiter "Sicherheit" schaue, werden dort statt den Gruppen- und Benutzernamen nur die SID's angezeigt.
Das Problem tritt aber nicht immer, sondern scheinbar willkürlich auf. Schließe ich das Eigenschaften-Fenster und öffne es nach ein paar Minuten wieder, kann es sein das die Benutzer und Gruppen wieder korrekt angezeigt werden.
Dann verschwinden sie aber irgendwann auch mal wieder.
Die Benutzer können aber zum Glück weiterhin auf die Freigaben zugreifen, auch wenn die SID's nicht richtig übersetzt werden.
Aber es wird halt irgendwann blöd werden wenn man mal was ändern will. Da blickt ja kein Mensch mehr durch, der das Problem nicht kennt. Außerdem weiß ich nicht, ob ich da wirklich meine Produktiv-Daten drauf ablegen will. Das ganze wirkt nicht sonderlich Vertrauens erweckend.
Unsere Domäne arbeitet im Windows 2000 pur-Modus.
Hatte jemand von euch vielleicht das gleiche Problem, und kennt eine Lösung?
Danke schonmal!
Gruß Tobi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 125957
Url: https://administrator.de/contentid/125957
Printed on: April 24, 2024 at 04:04 o'clock
11 Comments
Latest comment
hi tobi
das Prob besteht wenn der AD-Server nicht immer sauber erreichbar ist wegen netztwerkschwankungen z.b.
desweiteren empfehle ich dir deine domain auf 2k3 hochzustufen da dann dein filer und die AD besser miteinnander komunizieren.
aber du kannst ruhig deine prodiktiv daten darauf schieben weil ja der name bei der authentifizierung sowieso in die SID umgewandelt wird und somit funkt ja der zugriff
das Prob besteht wenn der AD-Server nicht immer sauber erreichbar ist wegen netztwerkschwankungen z.b.
desweiteren empfehle ich dir deine domain auf 2k3 hochzustufen da dann dein filer und die AD besser miteinnander komunizieren.
aber du kannst ruhig deine prodiktiv daten darauf schieben weil ja der name bei der authentifizierung sowieso in die SID umgewandelt wird und somit funkt ja der zugriff
Hi bundlerteufl!
Was meinst Du in diesem Zusammenhang mit
@derschakal83
Die SID wird aufgelöst, indem der DC kontaktiert wird. Gibt es da Probleme (Namensauflösung/DNS/Konnektivität), kann es dazu kommen. Abhilfe wird schwierig. Fang mal mit der Namensauflösung am FS an. Nutz dazu nslookup und für SID-Tests SID2User oder USER2SID von hier: http://evgenii.rudnyi.ru/soft/sid/ - keine Sorge, die Software ist renommiert.
Was meinst Du in diesem Zusammenhang mit
desweiteren empfehle ich dir deine domain auf 2k3 hochzustufen da dann dein filer und die AD besser miteinnander komunizieren.
wenn ich fragen darf?@derschakal83
Die SID wird aufgelöst, indem der DC kontaktiert wird. Gibt es da Probleme (Namensauflösung/DNS/Konnektivität), kann es dazu kommen. Abhilfe wird schwierig. Fang mal mit der Namensauflösung am FS an. Nutz dazu nslookup und für SID-Tests SID2User oder USER2SID von hier: http://evgenii.rudnyi.ru/soft/sid/ - keine Sorge, die Software ist renommiert.
Hallo zusammen,
erstmal danke für eure Antworten.
Die Namensauflösung funktioniert soweit korrekt. Auch die SID's sind korrekt, und gehören zu den passenden Benutzern/Gruppen.
Es tritt so wie's aussieht wirklich nur an dem Server 2008 R2-Server auf, bei allen anderen Fileservern (2000, 2003, 2003R2, 2008) tritt dieses Problem nicht auf.
Es wäre jetzt natürlich noch interessant zu wissen ob jemand mal dasselbe Problem hatte und mit einer "Hochstufung" seiner Domäne dieses Phänomen beseitigen konnte. Wenn es wirklich daran liegen sollte, wäre das Problem ja relativ leicht zu beheben...
Gruß Tobi
erstmal danke für eure Antworten.
Die Namensauflösung funktioniert soweit korrekt. Auch die SID's sind korrekt, und gehören zu den passenden Benutzern/Gruppen.
Es tritt so wie's aussieht wirklich nur an dem Server 2008 R2-Server auf, bei allen anderen Fileservern (2000, 2003, 2003R2, 2008) tritt dieses Problem nicht auf.
Es wäre jetzt natürlich noch interessant zu wissen ob jemand mal dasselbe Problem hatte und mit einer "Hochstufung" seiner Domäne dieses Phänomen beseitigen konnte. Wenn es wirklich daran liegen sollte, wäre das Problem ja relativ leicht zu beheben...
Gruß Tobi
Hallo Tobi,
bei mir hat sich das gleiche Problem ergeben.
Konntest Du inzwischen eine Lösung finden?
viele Grüße,
Jochen
bei mir hat sich das gleiche Problem ergeben.
Konntest Du inzwischen eine Lösung finden?
viele Grüße,
Jochen
Hallo Jochen,
so wie es aussieht hat sich das Problem bei uns gelöst. Wir haben unseren Domänen-Modus vor einer Weile auf 2003 hochgestuft. Seitdem haben wir unsere eigenen Daten (von der EDV) testweise auf einen 2008R2-Server ausgelagert. Hier trat das Phänomen dann nicht mehr auf.
Gruß Tobi
so wie es aussieht hat sich das Problem bei uns gelöst. Wir haben unseren Domänen-Modus vor einer Weile auf 2003 hochgestuft. Seitdem haben wir unsere eigenen Daten (von der EDV) testweise auf einen 2008R2-Server ausgelagert. Hier trat das Phänomen dann nicht mehr auf.
Gruß Tobi
Hallo Tobi,
ich habe hier bei uns in der Firma das gleiche Problem. Domänen Modus 2000 und einen neuen Fileserver mit Windows 2008 R2.
Die SID´s werden manchmal übersetzt, dann funktioniert es mal wieder nicht, usw.
Bin jetzt erst auf diesen Beitrag gestoßen.
Liegt es definitiv daran, dass die Domäne auf Windows 2003 hochgestuft werden muss, damit die SID´s richtig angezeigt werden?
Wenn ja, dann muss ich unseren W2K Domänencontroller ersetzen.
Gruß Markus
ich habe hier bei uns in der Firma das gleiche Problem. Domänen Modus 2000 und einen neuen Fileserver mit Windows 2008 R2.
Die SID´s werden manchmal übersetzt, dann funktioniert es mal wieder nicht, usw.
Bin jetzt erst auf diesen Beitrag gestoßen.
Liegt es definitiv daran, dass die Domäne auf Windows 2003 hochgestuft werden muss, damit die SID´s richtig angezeigt werden?
Wenn ja, dann muss ich unseren W2K Domänencontroller ersetzen.
Gruß Markus
Hallo Markus,
seit wir unsere Domäne hochgestuft haben, gibt es diese SID-Probleme nicht mehr. Da wir an unserer Struktur sonst nichts geändert haben tippe ich mal zu 99% drauf, dass es daran lag.
Kannst ja Bescheid geben, obs bei euch dann auch geklappt hat.
Gruß Tobi
seit wir unsere Domäne hochgestuft haben, gibt es diese SID-Probleme nicht mehr. Da wir an unserer Struktur sonst nichts geändert haben tippe ich mal zu 99% drauf, dass es daran lag.
Kannst ja Bescheid geben, obs bei euch dann auch geklappt hat.
Gruß Tobi
Ich halte zu 99% dagegen, dass es mit dem Funktionslevel zu tun hat - warum auch? Die SIDs stehen in den ACLs. Beim Aufruf des Berechtigungsdialoges wird der DC kontaktiert, wenn es um Domänenkonten geht. Bestehen Konnektivitätsprobleme, werden diese langsam oder gar nicht aufgelöst. K.-Probleme können sein: Firewalls, die spinnen, extreme Netzwerkflaschenhälse und vor allem: verkehrte DNS-Einträge am Client.
Da Du aber eh einen 2000er DC hast und 2000 bald (diesen Juli) keine Sicherheitsupdates mehr bekommt, musst Du eh eine Hochstufung machen.
Da Du aber eh einen 2000er DC hast und 2000 bald (diesen Juli) keine Sicherheitsupdates mehr bekommt, musst Du eh eine Hochstufung machen.
Hallo,
danke für die Infos.
Ich denke dass ich die Domäne in nächster Zeit hochstufen werde und hoffe dass dann die SID´s richtig angezeigt werden
Gruß
Markus
danke für die Infos.
Ich denke dass ich die Domäne in nächster Zeit hochstufen werde und hoffe dass dann die SID´s richtig angezeigt werden
Gruß
Markus
Firewalls und ähnliches haben wir damals alles geprüft.
Mir ist schon klar, dass bei den Abfragen der DC kontaktiert wird. Aber wer weiß was sich zwischenzeitlich bei der Art der Abfrage unter der Haube geändert hat? Vielleicht wurde das Timeout fürs Auflösen der ACLs bei 2008R2 verringert, und die Verbindung mit einem 2000er-DC kann nicht schnell genug statt finden? (Nur mal so'n Gedankengang).
Ich wüsste also nicht, warum es NICHT mit dem Funktionslevel zu tun haben sollte?
Aber wie DerWoWusste schon erwähnte, hochzustufen ist sicher kein Fehler
Mir ist schon klar, dass bei den Abfragen der DC kontaktiert wird. Aber wer weiß was sich zwischenzeitlich bei der Art der Abfrage unter der Haube geändert hat? Vielleicht wurde das Timeout fürs Auflösen der ACLs bei 2008R2 verringert, und die Verbindung mit einem 2000er-DC kann nicht schnell genug statt finden? (Nur mal so'n Gedankengang).
Ich wüsste also nicht, warum es NICHT mit dem Funktionslevel zu tun haben sollte?
Aber wie DerWoWusste schon erwähnte, hochzustufen ist sicher kein Fehler
Aktiviere SMB 1.0 dann ist der Fall erledigt.
