[2000/2003] AD Query in ander domein met vbs, no results* - Windows clients

woensdag 25 mei 2005 09:35

Acties:

Topicstarter

Wie kan mij raad geven over het volgende probleem:

Ik ben een vbscript aan het schrijven wat global security groups uit domein A moet toevoegen als member in local security groups in domein B. Domein A draait op een W2K native domein, domein B is een W2K3 domein.

Om de local group op te zoeken waar de global group aan toegevoegd moet worden heb ik het volgende queryscript (domeinnamen zijn fictief):

code:

Set objConnection = CreateObject("ADODB.Connection")
objConnection.Open "Provider=ADsDSOObject;"
Set objCommand = CreateObject("ADODB.Command")
objCommand.ActiveConnection = objConnection

strLDAPUnitPath = "LDAP://DC=DomeinB,DC=LOCAL"
objCommand.CommandText = "<" & strLDAPUnitPath & ">;(& _(objectCategory=group));distinguishedName;subtree"
Set objRecordSet = objCommand.Execute
While Not objRecordset.EOF
  objLogFile.WriteLine objRecordset.Fields("distinguishedName")
  objRecordset.MoveNext
Wend
objLogFile.Close
objConnection.Close

Dit stukje code zou alle groepen uit Domein B moeten weergeven in een logbestandje. Echter vanuit domein A (LDAP://DC=DomeinA,DC=INTRA), krijg ik niks terug, run ik het script vanuit domein B dan krijg ik een complete lijst terug.

Waar zit hier de fout in, en is er een oplossing die ik over het hoofd heb gezien? Google heeft me helaas tot dusver in de steek gelaten

nb. beide domeinen hebben een trust met elkaar. Als domeinadmin van A kan ik bij alle bronnen in domein b.

woensdag 25 mei 2005 11:13

Acties:

NMe

Quia Ego Sic Dico.

* NMe denkt dat ze hier in Windows Operating Systems meer verstand van hebben. Ik fix ook meteen je topictitel zodat hij strookt met de daar geldende policies.

PW>>WOS

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

woensdag 25 mei 2005 11:22

Acties:

sanfranjake

Computers can do that?

Je kan dus wel gewoon browsen door dat domein? Is het een chiddomein, een nieuwe tree in hetzelfde forest of een nieuw forest? Beide machines up-to-date qua Windows patches?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

woensdag 25 mei 2005 12:04

Acties:

Verwijderd

krijg je helemaal geen errormessage?

kan je wel gewoon naar de groepen browsen vanuit domain A? voer je het script uit onder hetzelfde account?

woensdag 25 mei 2005 12:07

Acties:

Blind Guardian

Topicstarter

Toelichting:

het gaat om een query vanuit het ene forest naar het andere (domeinnamen zijn volledig verschillend). beide domeinen zijn volledig gepatcht, 1 draait op W2K native, ander op W2K3.

Er verschijnen geen errormeldingen. On error handling heb ik niet toegevoegd, dus zou een melding moeten geven wanneer er iets niet deugd.

Wanneer ik met de AD Users & comps in de weer ga kan ik connectie maken met het andere forest/domein, en daarop een zoekopdracht loslaten.

Doel van mijn scriptje is trouwens het lid maken van Global group A uit domein A in Local group B in domein B. Ook dit was gewoon mogelijk via AD U&C...

woensdag 25 mei 2005 14:41

Acties:

Blind Guardian

Topicstarter

*bump*

Schopje met wat aanvullende info, probleem bestaat echter nog steeds

...

Ik heb via intensief gegoogle uitgeplozen dat wanneer ik het volgende aanpas:

code:

1 2	strLDAPUnitPath = "LDAP://DC=DomeinB,DC=LOCAL" objCommand.CommandText = "<" & strLDAPUnitPath & ">;(& _(objectCategory=group));distinguishedName;subtree"

naar

code:

1 2	strLDAPUnitPath = "LDAP://DomeinB.LOCAL" objCommand.CommandText = "<" & strLDAPUnitPath & ">;(& _(objectCategory=group));distinguishedName;subtree"

de query wordt uitgevoerd. Echter wanneer ik de ene groep aan de andere wil toevoegen heb ik toch een geldige FQDN nodig in de vorm van LDAP://CN=group,OU=orgunitx,DC=DomeinB,DC=LOCAL.

En weer terug bij af, want hij accepteert nog steeds niet dat ik in 2 forests wil wandelen...

donderdag 26 mei 2005 08:43

Acties:

Blind Guardian

Topicstarter

*schop* again...
Nog steeds niemand die reageert

Ik ben inmiddels weer wat verder. Nu lukt het me al om query's uit te voeren wanneer ik de volgende syntax gebruik:

LDAP://server.DomeinB.Local/CN=group,OU=orgunitx,DC=DomeinB,DC=LOCAL.

Echter, wanneer ik gebruikers/groepen uit Forest A wil toevoegen aan Forest B krijg ik nog steeds errors. Iemand enig idee waarom?

donderdag 26 mei 2005 09:57

Acties:

sanfranjake

Computers can do that?

Krijg je alleen die noresults melding, of worden in het eventlog of ergens anders nog additionele details genoemd?

Zou je ook als je zelf de laatste poster bent in een topic, je bericht willen wijzigen in plaats van een nieuw bericht te plaatsen? Dan wordt het topic niet zonder reden terug naar boven gehaald in de topiclisting. Lees hierover nog even Algemene gedragsregels (Netiquette) door. een topic omhoog halen op deze manier is pas na 24 uur toegestaan.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 26 mei 2005 12:34

Acties:

Blind Guardian

Topicstarter

Om te beginnen: sorry voor 't topicschoppen, overheen gelezen dat dat niet op prijs werd gesteld.

sanfranjake schreef op donderdag 26 mei 2005 @ 09:57:
Krijg je alleen die noresults melding, of worden in het eventlog of ergens anders nog additionele details genoemd?

Inmiddels kan ik wel zoeken, maar is mijn probleem verlegd naar het daadwerkelijk toevoegen van groepen over een forest heen. Het volgende voorbeeld legt dit uit:

Dit werkt:

code:

groupPath = "LDAP://server.domainA.LOCAL/CN=TestGroup001_L_R,OU=TestOU,DC=DomainA,DC=LOCAL"
memberPath = "LDAP://server.domainA.LOCAL/CN=TestGroup001_L_RW,OU=TestOU,DC=DomainA,DC=LOCAL"

Set group = GetObject(groupPath)
Set member = GetObject(memberPath)

group.Add(member.ADsPath)

Deze ldap-paths geven error 80072035 "server is unwilling to process the request":

code:

1 2	groupPath = "GC://server.domainA.LOCAL/CN=TestGroup001_L_R,OU=TestOU,DC=DomainA,DC=LOCAL" memberPath = "GC://server.domainA.LOCAL/CN=TestGroup001_L_RW,OU=TestOU,DC=DomainA,DC=LOCAL"

Deze ldap-paths geven error 80072030 "No such object on the server"
nb.: elke server staat in zijn eigen forest, hebben een 2 weg trust en objecten bestaan wel, in tegenstelling tot de error:

code:

1 2	groupPath = "LDAP://server.domainA.LOCAL/CN=TestGroup001_L_R,OU=TestOU,DC=DomainA,DC=LOCAL" memberPath = "LDAP://server.domainB.INTRA/CN=TestGroup001_L_RW,OU=TestOU,DC=DomainB,DC=INTRA"

Mijn vraag:
Waarom weigert dit script de ene groep aan de andere toe te voegen?

donderdag 26 mei 2005 14:20

Acties:

Verwijderd

weet je 100% zeker dat het ene domain het andere domain zonder problemen kan benaderen? de dns zit goed in elkaar?

de error meldingen moet je ff op google. convert de laatste 4 cijfers (hex) van je error naar decimaal, dat wil ook nog wel eens helpen...

donderdag 26 mei 2005 19:11

Acties:

Blind Guardian

Topicstarter

DNS e.d. ligt het niet aan, want ik kan prima groepen handmatig toevoegen vanuit forest A naar B. Oftewel: want handmatig prima gaat loopt per script mis. En da's niet fijn als je 1000+ gebruikers wilt omzetten

.

Maar goed, op beide foutmeldingen (text en code) gegoogled, en daar wordt alleen maar gezanikt over "niet bestaande OU's" of typo's, of verhalen over het AD Schema, wat allemaal irrelevant is aan het probleem. Zelfs msdn geeft geen enkele info of een groep uberhaupt over een forest heen gekoppeld kan worden per script (en zo ja: hoe).