Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
invis_server_wiki:upgrade:rescuead [2018/04/05 20:09] flacco [NextRid] |
invis_server_wiki:upgrade:rescuead [2018/04/05 20:45] (aktuell) flacco [Maschinen-Konten extrahieren] |
||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| ====== AD Rettung ====== | ====== AD Rettung ====== | ||
| - | Die Übernahme eines bestehenden ActiveDiretories beispielsweise beim Upgrade von Sernet-Samba Paketen hin zu unseren eigenen, kann durchaus auch schief gehen. Uns ist das inzwischen mehrfach passiert. Beschädigt war in aller Regel das ID-Mapping zwischen den Windows-SIDs und den UNIX UID/GIDs. Eine Möglichkeit dies zu reparieren haben wir noch nicht gefunden, dafür aber einen anderen sehr eleganten Ausweg. | + | Die Übernahme eines bestehenden ActiveDiretories beispielsweise beim Upgrade von Sernet-Samba Paketen hin zu unseren eigenen, kann durchaus auch schief gehen. Uns ist das inzwischen mehrfach passiert. Beschädigt war in aller Regel das ID-Mapping zwischen den Windows-SIDs und den UNIX UID/GIDs. Im Samba-Log haben sich dann immer nachfolgende Einträge zu Hauf gezeigt: |
| - | Solange die Datei **''sam.ldb''** im Verzeichnis <file>/var/lib/samba/private</file> nicht beschädigt ist, können alle darin enthaltenen Informationen wie Benutzerkonten, Maschinenkonten usw. in ein neues AD übernommen werden. Sichern Sie sich diese Datei evtl. auf dem neuen System in ein Arbeitsverzeichnis. | + | <code> |
| + | [2017/09/11 12:45:36.109347, 0] | ||
| + | ../source4/auth/unix_token.c:107(security_token _to_unix_token) | ||
| + | Unable to convert SID (S-1-1-0) at index 3 in user token to a GID. | ||
| + | Conversion was returned as type 0, full token: | ||
| + | [2017/09/11 12:45:36.109486, 0] | ||
| + | ../libcli/security/security_token.c:63(security_token_debug) | ||
| + | Security token SIDs (8): | ||
| + | SID[ 0]: S-1-5-21-477667662-2079173432-720341635-1110 | ||
| + | SID[ 1]: S-1-5-21-477667662-2079173432-720341635-513 | ||
| + | SID[ 2]: S-1-5-21-477667662-2079173432-720341635-1108 | ||
| + | SID[ 3]: S-1-1-0 | ||
| + | SID[ 4]: S-1-5-2 | ||
| + | SID[ 5]: S-1-5-11 | ||
| + | SID[ 6]: S-1-5-32-545 | ||
| + | SID[ 7]: S-1-5-32-554 | ||
| + | Privileges (0x 800000): | ||
| + | Privilege[ 0]: SeChangeNotifyPrivilege | ||
| + | Rights (0x 400): | ||
| + | Right[ 0]: SeRemoteInteractiveLogonRight | ||
| + | </code> | ||
| + | Zugriffe auf Freigaben beispielsweise waren dann nicht mehr möglich. Eine Möglichkeit dies zu reparieren haben wir noch nicht gefunden, dafür aber einen anderen durchaus gangbaren Ausweg. | ||
| + | |||
| + | Solange die Datei **''sam.ldb''** im Verzeichnis <file>/var/lib/samba/private</file> nicht beschädigt ist, können alle darin enthaltenen Informationen wie Benutzerkonten, Maschinenkonten usw. in ein neues AD übernommen werden. Sichern Sie sich diese Datei evtl. auf dem neuen System in ein Arbeitsverzeichnis. | ||
| Voraussetzung für die Übernahme der Informationen ist, dass das neue AD den gleichen **Domain Secure Identifier** (Domain SID) trägt wie das zu rettende. | Voraussetzung für die Übernahme der Informationen ist, dass das neue AD den gleichen **Domain Secure Identifier** (Domain SID) trägt wie das zu rettende. | ||
| Zeile 118: | Zeile 141: | ||
| <code> | <code> | ||
| - | invis:~/arbeitsverzeichnis # ldbsearch -H sam.ldb -b "CN=DHCP Config,CN=DHCP-Server,CN=invis-Server,DC=doc-net,DC=loc" objectClass=iscDhcpHost > hosts.ldif | + | invis:~/arbeitsverzeichnis # ldbsearch -H sam.ldb -b "CN=DHCP Config,CN=DHCP-Server,CN=invis-Server,DC=invis-net,DC=loc" objectClass=iscDhcpHost > hosts.ldif |
| </code> | </code> | ||
| Zeile 159: | Zeile 182: | ||
| ==== Maschinen-Konten extrahieren ==== | ==== Maschinen-Konten extrahieren ==== | ||
| - | Das extrahieren der Maschinenkonten ist ebenfalls ein bisschen komplizierter als die Informationen rund um die Mailkonten der Benutzer. | + | Das extrahieren der Maschinenkonten ist ebenfalls ein bisschen komplizierter als die Informationen rund um die Mailkonten der Benutzer. Ob der Schritt überhaupt sinnvoll ist, kann ich nicht abschließend sagen, da die Domänenbeitritte aller Arbeitsstationen in jedem Falle wiederholt werden müssen. Trotzdem beschreibe ich es mal hier, kann ja nicht schaden sich ein bisschen mit seinem AD auseinanderzusetzen. |
| Neben der **objectGUID** müssen mit den Attributen **isCriticalSystemObject** und **primaryGroup** weitere Attribute entfernt und mit **pwdLastSet** ein Attribut manuell geändert werden. | Neben der **objectGUID** müssen mit den Attributen **isCriticalSystemObject** und **primaryGroup** weitere Attribute entfernt und mit **pwdLastSet** ein Attribut manuell geändert werden. | ||
| Zeile 169: | Zeile 192: | ||
| </code> | </code> | ||
| - | Öffnen Sie jetzt die soeben erzeugte Datei in einem Editor und setzen Sie für alle enthaltenen Objekte den Wert des Attributes "pwdLastSet" auf **''-1''** oder **''0''**. Die vorhandenen realen Werte sind für den Import nicht zulässig. Dabei bedeutet der Wert **''0''**, dass das Passwort des Clients abgelaufen ist und der Wert **''-1''** bedeutet, dass das es Maschinen-Kontos niemals abläuft. Einen Unterschied macht das leider nicht: | + | Öffnen Sie jetzt die soeben erzeugte Datei in einem Editor und setzen Sie für alle enthaltenen Objekte den Wert des Attributes "pwdLastSet" auf **''-1''** oder **''0''**. Die vorhandenen realen Werte sind für den Import nicht zulässig. Dabei bedeutet der Wert **''0''**, dass das Passwort des Clients abgelaufen ist und der Wert **''-1''** bedeutet, dass es niemals abläuft. Einen Unterschied macht das leider nicht: |
| ---- | ---- | ||