none
共享路径安全用户名显示异常, 部分显示用户SID部分显示用户名。 RRS feed

  • 问题

  • 1、目前环境使香港与大陆有AD,通过MPLS连通。网络一切正常,但在大陆服务器访问HK共享路径时显示不出用户名,一部分仅显示用户SID,另一部分显示正常用户名。显示SID的通过右键-属性-安全或高级里显示的也是ID,请问是什么问题?如何修复?

    2、现在论坛无法上传图片?一直在reloading无法插入

    2021年1月13日 1:40

答案

全部回复

  • 尊敬的客户,您好,

    感谢您的发帖。

    1,根据我们的描述,当查看共享文件的安全对话框时,部分显示是用户的SID而非用户名,是吗?例如:



    显示SID而不是用户名称的可能原因是:
    1)这些用户账户已经被删除,但是他们的权限还未被删除。显示如上图。我们可以检查下这些用户账户是否正常使用,未被删除。
    2)由于某种原因无法联系DC。香港与大陆都有AD,是在同一域内吗?还是相互信任的域呢?DC工作都正常吗?如果有多台DC的话,AD复制正常吗?
    3)SID属于受信任林中的安全主体,并且存在连接问题。根据我们的说明,连通正常,网络一切正常。
    4)大陆的服务器和HK共享路径所在的服务器是否能正常联系DC呢?
    5)还有一个常见问题是SID转换失败。当来自受信任域的用户或者组添加到域本地组时,通常会出现这样的问题。
    详细信息,我们可以参考:https://docs.microsoft.com/en-us/archive/blogs/askds/troubleshooting-sid-translation-failures-from-the-obvious-to-the-not-so-obvious

    2,很抱歉给您带来的不便,我们这边会将问题反馈到平台。同时也建议更换浏览器试试。感谢您的理解和支持。

    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2021年1月13日 3:24
  • 1)这些用户账户已经被删除,但是他们的权限还未被删除。显示如上图。我们可以检查下这些用户账户是否正常使用,未被删除。

    ----已经确认过这些仅显示SID的用户未被删除。
    2)由于某种原因无法联系DC。香港与大陆都有AD,是在同一域内吗?还是相互信任的域呢?DC工作都正常吗?如果有多台DC的话,AD复制正常吗?

    ----HK域名xxxhk,大陆是xxxsz,是互相信任域,有多台DC应该都是正常,有否工具或简便方法检查?

    3)SID属于受信任林中的安全主体,并且存在连接问题。根据我们的说明,连通正常,网络一切正常。

    ----暂时没有没发现网络问题,用户数量AD比较多,是否有影响或有参考案例?
    4)大陆的服务器和HK共享路径所在的服务器是否能正常联系DC呢?

    ----如3)应该网络是正常的,是只要ping保证不丢包还是要检测哪些端口?(会进行相关检查)
    5)还有一个常见问题是SID转换失败。当来自受信任域的用户或者组添加到域本地组时,通常会出现这样的问题。
    详细信息,我们可以参考:https://docs.microsoft.com/en-us/archive/blogs/askds/troubleshooting-sid-translation-failures-from-the-obvious-to-the-not-so-obvious

    ----链接方法已经试过,没有改善。

    2021年1月13日 9:18
  • 您好,

    感谢您的回复。

    检查DC是否都正常工作,我们可以运行以下命令:
    dcdiag /v /e>c:\dcdiag.txt

    检查服务器是否可以正常联系DC的话,可以ping域名,ping DNS server。另外的话,也可以在服务器上运行以下命令检查下安全通道是否正常:
    nltest /sc_verify:domain.com


    根据我们的经验,有客户遇到的情况,一开始添加用户到ACL的时候是可以正常显示的,但是可能重启后,就显示SID。这个说明解析是没有问题的。请问,所有的共享文件夹都存在这样的问题吗?如果在这个共享文件夹上显示的是SID,那么这个账户在其他的共享文件夹上是否显示正常呢?还是说也是显示的SID?

    之前我们遇到的这样的case,最后结果是有用户被删除了,被删除的用户影响了其他的用户,导致其他的用户也会显示不正常。所以建议我们还是再次检查下环境中显示的是SID的账户,是否在另外的受信任的域中被删除了。

    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年1月14日 5:44
  • 您好,

    感谢您的回复。

    关于命令nltest /sc_verify:domain.com,结果是正常的。此命令只能验证同一域的安全通道。此命令输出的结果来看,文件服务器跟DC之间的安全通道是正常的。

    以下是根据SID信息,得知用户账户的命令,希望对我们有所帮助。

    wmic useraccount where sid='S-1-5-21-3775053897-2531629589-1082461213-1145' get name



    已知用户账户,想要查找SID,可以使用以下命令:
    wmic useraccount where name="USER" get sid



    如有任何进展,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年1月15日 6:48
  • 检查DC是否都正常工作,我们可以运行以下命令:

    dcdiag /v /e>c:\dcdiag.txt

    ----正在检查

    关于命令nltest /sc_verify:domain.com,我在某一台SZ的已入域xxxsz.local的文件服务器上运行提示如下(xxx.local是HK的域):

    C:\Users\administrator.xxxSZ>nltest /sc_verify:xxx.local
    I_NetLogonControl failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

    C:\Users\administrator.xxxSZ>nltest /sc_verify:xxxsz.local
    Flags: b0 HAS_IP  HAS_TIMESERV
    Trusted DC Name \\Fileserver.xxxsz.local
    Trusted DC Connection Status Status = 0 0x0 NERR_Success
    Trust Verification Status = 0 0x0 NERR_Success
    The command completed successfully

    以上提示即深圳上检查深圳域通道正常,检查香港域通道不正常?这error代表什么?

    ---------------------------------------------------------------------------------------------------------------------------

    请问,所有的共享文件夹都存在这样的问题吗?如果在这个共享文件夹上显示的是SID,那么这个账户在其他的共享文件夹上是否显示正常呢?还是说也是显示的SID?

    ---这个问题我已经通过工具PSTools验证过,在深圳的服务器上CMD运行,查找SID对象得出香港AD User: xxx\idychan

    C:\Users\administrator.XXXSZ\Desktop\PSTools>PsGetsid.exe S-1-5-21-1123561945-1
    604221776-682003330-1131

    PsGetSid v1.45 - Translates SIDs to names and vice versa
    Copyright (C) 1999-2016 Mark Russinovich
    Sysinternals - www.sysinternals.com

    Account for FILESERVER\S-1-5-21-1123561945-1604221776-682003330-1131:
    User: xxx\idychan

    即HK AD真实仍存在,但在SZ 共享文件夹添加后则仍然显示SID。尝试移除该用户权限后重新添加用户AD,添加过程搜索出能正常显示AD名,选中确认后添加权限后仍然显示为SID。

    PS:论坛还是无法发送照片?我用的是Google Chrome。

    2021年1月15日 7:55
  • 您好,

    感谢您的反馈。

    根据您的描述,当前共享文件夹是位于SZ文件服务器上的,来自HK的用户添加了此共享文件夹的用户权限后,搜索时候能正常显示用户名,确认后就会显示为SID。

    在我的测试环境中,文件夹是位于sayms.loca域的,将来自信任域的用户susan添加用户权限后,显示的是用户名称,而非SID。



    根据之前遇到的相似案例,如果有两个相互信任域,在一个域内有共享文件夹,并且赋予了一些用户的权限。如果在另一个域内删除了某个用户后,就会影响信任域共享文件夹下用户名的解析,即不能正常解析成用户名。也就是说,只要共享文件夹权限内有账户被删除的话,就会影响到其他的用户。所以,建议我们检查下共享文件夹下的所有的安全主体,是否有账户在另一个域内被删除了。



    很抱歉当前还是无法发送照片。这边有一个html方式,但是很少用。我们可以看看。


    感谢您的理解和支持。如有问题,请随时联系我们。

    此致,
    Hannah Xiong



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年1月15日 9:54
  • 你好,图片请参考:

    https://nchk-my.sharepoint.com/:i:/g/personal/dino_li_nchk_net/EZWJtLnkNH9MiEOC-9N3S80B66FlNn8oeLPwLMdaTXxbRA?e=ZumaUJ

    你的描述我相信你已经确理解到我的意思和问题所在。

    另外,的确存在SZ共享文件夹里有HK域用户移除或删除已的情况,因为需要有人员离职或者权限调整,但删除的AD,我不可能每个共享文件都去检查该AD权限。是否有办法修复这个问题?如图是有很大部分显示SID,影响管理。

    2021年1月18日 7:38
  • 您好,

    非常感谢您的回复。

    是的,您说的我们很理解,我们不可能去检查所有的共享文件,而且我们很难确保这些未知账户在我们本域的其他文件上已经被完全删除,而且如果信任域再一次删除安全属性标签列表内的用户时,这个问题又会复现。

    仅外部信任会受到这样的影响,我们可以用林信任替代外部信任来解决此问题。替代为林信任的话,需要先将现在的域信任删除,然后重新设定信任关系。

    希望此解决方法对您有所帮助。感谢您的理解和支持。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年1月19日 2:53
  • 请问有没详细的参考连接,或者林信任的操作步骤?
    2021年1月19日 6:43
  • 您好,

    感谢您的回复。

    具体步骤跟创建外部信任很相似,我们可以参考以下链接:
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc780479(v=ws.10)?redirectedfrom=MSDN

    在建立林信任之前,我们需要确保两个林之间需要通过DNS服务器来找到对方林根域的域控制器。我们之前设置过外部信任,应该都有配置过。如有任何疑虑的话,我们可以参考以下链接:
    https://social.technet.microsoft.com/Forums/windowsserver/en-US/9e501d72-5457-421a-b81b-3a1f83ac7b0e/setup-of-trust-relationship-between-2-domains?forum=winservergen

    创建完信任后,我们可以在AD站点和服务中检查并验证林信任。





    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Dino Li 2021年2月2日 2:29
    2021年1月20日 7:50
  • 您好,

    我们正在跟踪您所遇到问题的进展,如果您还有任何的问题,请随时联系我们。

    如果上述回复对您有所帮助,您可以标记它们为答复。感谢您的理解与支持。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年1月22日 7:59
  • 尊敬的客户,您好!

    请问我们的问题解决了吗?如有任何问题,请回复并告诉我们当前的情况,以便提供进一步的帮助。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年1月25日 2:17
  • https://nchk-my.sharepoint.com/:i:/g/personal/dino_li_nchk_net/EfI_tIBsv29Is-b_M-sGDHkBjEHUc5d3jwqmDnO_0hKm7A?e=gFkdkE

    https://nchk-my.sharepoint.com/:i:/g/personal/dino_li_nchk_net/EY3U6szxY8pBkK0Nsrtx1pwBtoAwgURLYdLbwNJAx2NEPA?e=Z1HClE

    1、请参考截图,当两端互相添加林信任后,文件属性-安全能找到对端域和用户,但点添加后却提示“请确认AD域控制器可用,然后在尝试选择对象”。

    2、另外也发现即使我添加了林信任后,原本已经是未知SID的用户,用户名没有变回来。还是现实未知。

    2021年1月25日 10:10
  • 最新情况,参考https://docs.microsoft.com/zh-CN/troubleshoot/windows-server/windows-security/rpc-endpoint-mapper-prevents-users-added-to-trust-forest,问题1已经解决。

    问题2应该是两台机同步有点慢,有AD的显示为未知SID的用户 ,会显示回用户名。

    2021年1月26日 6:12