Hola a todos, mientras termino la segunda parte del artículo de Storage Server quería compartir con vosotros un problema que hemos padecido hace poco. Actualmente estamos inmersos en una migración de dominios “eterna”, el motivo por el cual esta migración de dominios es “eterna” es simplemente porque desde mi opinión personal el proyecto está mal definido desde el principio y se han pasado demasiadas cosas por alto. Pero esto es otra guerra y no hay tiempo para contarla ahora 
, a lo que voy es a que para poder realizar la migración inicialmente se ha tenido que establecer una relación de confianza y ejecutar cierta parametrización para que esto funcione.
En concreto se definió una relación de confianza Externa y se deshabilitó el SID Filtering como para cualquier otra migración. Para aquellos que no estéis familiarizados con esto, deciros que el filtrado de SID se encuentra habilitados en todas las relaciones de confianza que se establecen entre dominios, el filtrado de SID garantiza que el uso incorrecto del atributo SID History en las entidades de seguridad (incluida inetOrgPerson) en el bosque de confianza no supone una amenaza para la integridad del bosque que confía. El atributo SID History se utiliza en las migraciones entre dominios para que los usuarios migrados puedan acceder a recursos del dominio de origen sin tener que establecer nuevos permisos en el recurso.
Para poder visualizar este atributo necesitamos registrar una librería llamada acctinfo.dll y se encuentra en Account Lockout and Management tools que es descargable desde esta web:
Registramos la dll utilizando el comando regsvr32 acctinfo.dll, y una vez hecho esto aparecerá una pestaña nueva dentro de las propiedades del usuario llamada Additional Account Info y allí tenemos el botón SID History donde podemos ver este atributo del usuario en cuestión.
Como en las relaciones de confianza Externas no funcionan las autenticaciones Kerberos, tuvimos que reconfigurar varios servicios para que autenticaran por NTLM, esto nos provocó un error en varios de estos servicios, los servidores agotaban el numero de threads NTLM disponibles y dejaban de ver el dominio. Como no tenemos todos los usuarios migrados, para poder configurar la autenticación Kerberos en estos servicios teníamos que cambiar la relación de confianza a una relación de Bosque así que nos pusimos manos a la obra. Eliminamos la relación de confianza Externa y creamos una nueva relación de confianza de Bosque, como hacemos para todas las relaciones de confianza entre las que tenemos una migración, deshabilitamos el SID Filtering con el siguiente comando:
Netdom trust dominio1.origen /domain:dominio2.destino /quarantine:No /userD:UserAdminDom1 /passwordD:*
Una vez hecho esto, cuando el lunes llegaron los usuarios empezamos a encontrar incidencias de acceso denegado a ciertos recursos, comprobábamos que el atributo de SID History estaba en los usuarios pero no entendíamos por qué no se enviaba este SID para acceder al recurso del dominio origen. Después de varios intentos de resolver el problema, abrimos caso con Microsoft y todos andábamos un poco perdidos, hacíamos pruebas pero ninguno entendíamos por qué no se enviaba este atributo para acceder a los recursos del dominio Origen. A los días de tener el caso abierto, Microsoft nos hizo llegar el siguiente Link:
http://technet.microsoft.com/en-us/library/cc755321(WS.10).aspx
Este link, recoge un dato que desconocíamos, cuando se establece una relación de confianza de Bosque, no basta con deshabilitar el SID Filtering, también tenemos que especificar explícitamente que se envíe el SID History entre el dominio origen y el dominio de destino, esta operación no la realizamos en las relaciones de confianza de Externas por lo que entendimos que tampoco se debía realizar en la de Bosque, para indicar explícitamente que se envíe el SID History entre los dominios usamos el siguiente comando:
Netdom trust Dominio1.origen /domain:dominio2.destino /enablesidhistory:Yes /userD:UserAdminDom1 /passwordD:*
Una vez hecho esto se solucionó el problema y los usuarios pudieron trabajar sin ningún tipo de problema. Así que ya sabéis, si estáis inmersos en una migración y necesitáis una relación de confianza de Bosque, no basta con deshabilitar el SID Filtering, también tenéis que indicar que el atributo SID History se ha de intercambiar entre dominios. Espero que os sea de utilidad.
1 comentario:
Otro pedazo de artículo, encantado de leerte de nuevo tan pronto!
Publicar un comentario