Migration Windows Server

german

#1

Hallo,

ich möchte den UCS3@school gern installieren. Bevor ich das tun kann muss ich erst eine Migration in der Windowswelt abschließen.
Es ist mir klar das es hierfür spezialisierte Firmen gibt, die sich diese Schule aber nicht leisten kann.
Das aktuelles Problem, für das ich sehr dringend eine Lösung brauche, ist für einen Spezialisten bestimmt nur eine Kleinigkeit.

Ich habe mittels ldifde.exe von einem Windows 2000 Server OU’s, Gruppen und Benutzer exportiert und auf einem Windows Server 2008 R2 erfolgreich importiert, nachdem ich die Kennwortmindestlänge auf Null gesetzt hatte.

Ich habe den Hash eines von mir gewählten Kennwortes ausgelesen und auf dem neuen Server LADPS (LDAPoverSSL) eingerichtet.

Beim Kennwortsetzen gibt es aber einen Fehler und hier komme ich nicht weiter, da das worüber sich die Software beschwert scheinbar vorhanden ist.

Hier mal die Daten:
Datei: vd.ldf:
dn: CN=VDxxx,OU=Lehrer,OU=Benutzer,DC=KGS,DC=GTH,DC=local
changetype: modify
replace: unicodePwd
unicodePwd: :9c1ff3cfbbe5b34dc8350fd921b0144b

cmd:
C:\Windows\system32>ldifde -i -v -f vd.ldf -t 636 -s ERNST -j c:
ldf.log:
Verbindung mit “ERNST” wird hergestellt.
Anmelden als aktueller Benutzer unter Verwendung von SSPI
Das Verzeichnis wird aus der Datei “vd.ldf” importiert.
Die Einträge werden geladen.
Syntaxfehler in der EingabedateiFehler in Zeile 4.
Das letzte Token beginnt mit “9”.
Fehlendes Abschlusszeichen im Bearbeitungseintrag ‘-’.
0 Einträge wurden erfolgreich geändert.
Fehler im Programm

Bin für jeden Hinweis dankbar.


#2

Hallo,

für eine Windows zu UCS Migration wäre der Einsatz des AD-Connectors das Mittel der Wahl. Dieser würde auch die Passwortmigration übernehmen, so dass eine Änderung mittels LDAPModify nicht notwendig wäre.

Zu dem Konkreten Problem. Das Tool erwartet meines Wissens nach ein LDIF. Bei einem Base64 Objekt sind dabei zwei Doppelpunkte ohne Leerzeichen nach dem Attribut erforderlich. Das Korrekte bei Beispiel lautet daher:

dn: CN=VDxxx,OU=Lehrer,OU=Benutzer,DC=KGS,DC=GTH,DC=local
changetype: modify
replace: unicodePwd
unicodePwd:: 9c1ff3cfbbe5b34dc8350fd921b0144b
-

Da das Tool nicht zu unserem Portfolio gehört, möchte ich allerdings auch Tool-Spezifische Probleme nicht ausschließen.

Gruß,

Kevin Dominik Korte


#3

Hallo,

vielen Dank für den Vorschlag. Ich hab das mal probiert.

[code]dn: CN=VDxxx,OU=Lehrer,OU=Benutzer,DC=KGS,DC=GTH,DC=local
changetype: modify
replace: unicodePwd
unicodePwd:: 9c1ff3cfbbe5b34dc8350fd921b0144b

C:\Windows\system32>ldifde -i -v -f vd.ldf -t 636 -s ERNST -j c:
Verbindung mit “ERNST” wird hergestellt.
Anmelden als aktueller Benutzer unter Verwendung von SSPI
Das Verzeichnis wird aus der Datei “vd.ldf” importiert.
Die Einträge werden geladen.
1: CN=VDxxx,OU=Lehrer,OU=Benutzer,DC=KGS,DC=GTH,DC=local

Fehler für Eintrag mit Beginn in Zeile 1: Ausführung verweigert
Serverseitiger Fehler: 0x1f Ein an das System angeschlossenes Gerät funktioniert
nicht.
Erweiterter Serverfehler:
0000001F: SvcErr: DSID-031A120C, problem 5003 (WILL_NOT_PERFORM), data 0

0 Einträge wurden erfolgreich geändert.
Fehler im Programm
[/code]
Hat jemand einen Vorschlag?


#4

Hallo,

“Unwilling to Perform” Fehler treten auf, wenn die Berechtigungen nicht stimmen. Ursächlich kann hier sein:

a) Neben der Länge gibt es noch weiter Passwortrichtlinien. z.B. Komplexität
b) Ihr Nutzer hat nicht die Berechtigungen das Passwort zu ändern
c) Das Passwort ist nicht Richtig kodiert oder die Kodierung ist nicht zulässig

Zu C fällt mir gerade die Aussage auf:

Das unicode Password ist im Prinzip lesbarer Text und kein Hash. Wenn man den NTHasch oder LMHasch ausliest, kann dieser nicht mehr per unicode Password importiert werden.

Gruß


#5

Hallo,

das wird der Fehler sein.

Ich habe den NTHash ausgelesen und eingefügt. Ich hab mir noch mal “How to set a user’s password with Ldifde” angeschaut und festgestellt das sich auch die Länge unterscheidet. Mein Hash hat 32 Zeichen und das KB-Beispiel hat 36.

Melde mich wenn ich das geprüft habe. Einstweilen vielen Dank.

Gruß


#6

Hallo,

der Hinweis hat funtioniert. Die Länge des Base64 unicodePwd Strings hängt von der Länge des zu kodiernden Passworts ab.

[code]C:\Windows\system32>ldifde -i -v -f vd.ldf -t 636 -s ERNST -j c:
Verbindung mit “ERNST” wird hergestellt.
Anmelden als aktueller Benutzer unter Verwendung von SSPI
Das Verzeichnis wird aus der Datei “vd.ldf” importiert.
Die Einträge werden geladen.
1: CN=VDxxx,OU=Lehrer,OU=Benutzer,DC=KGS,DC=GTH,DC=local
Der Eintrag wurde einwandfrei geändert.

Ein Eintrag erfolgreich geändert.

Der Befehl wurde einwandfrei durchgeführt.[/code]

Mir hat folgender Link geholfen.
http://www.rlmueller.net/Base64.htm

Vielen Dank an Herrn Korte und all die anderen die mir halfen.

Gruß