Назад | Перейти на главную страницу

Роль SID в присоединении к доменам и аутентификации AD?

Благодаря недавним ответам на мои вопросы я смог использовать sysprep для создания образа системы Windows 7, готового к развертыванию в нашей организации.

Я узнал, что в процессе использования sysprep создается новый SID машины для системы, что делает ненужным запуск программного обеспечения newSID на вновь развернутых системах. Также я видел Марк Руссиновичсообщение в блоге о том, что идентификаторы безопасности компьютеров больше не являются проблемой. Однако я все еще немного запутался:

Как один из техников технической поддержки в нашей группе, я иногда получаю звонки от клиентов, чьи компьютеры не могут подключиться к нашему домену Windows или не могут войти в систему, используя свои учетные данные AD (сообщения об ошибках будут примерно такими: домен недоступен "и т.д., в то время как другие компьютеры могут).

По словам одного из наших администраторов, ошибка заключается в дублировании идентификаторов безопасности компьютера, поскольку компьютер не может войти в систему, потому что другой компьютер с таким же идентификатором безопасности уже вошел в систему. Он сказал, что именно поэтому иногда компьютер, который не может присоединиться к домену сейчас, будет внезапно сможет подключиться через час, потому что другая, конфликтующая машина отключена.

Он просил нас запустить newSID на проблемном компьютере, чтобы решить эту проблему. Интересно, что после (1) выхода из домена, (2) запуска newSID, затем (3) повторного присоединения компьютера к нашему домену, пользователь сможет войти в систему с учетной записью AD. Похоже, это противоречит упомянутой мной публикации в блоге, в которой утверждается, что идентификаторы безопасности компьютеров больше не нужны.

Чтобы лучше помогать своим клиентам и лучше понимать, как все это работает, я хотел бы спросить следующее:

(1) AFAIK, newSID и sysprep дают компьютеру новый машина SID. Как этот SID компьютера играет какую-либо роль в успешном присоединении к домену или входе в систему с учетными данными AD? Что происходит, когда две системы с одним и тем же SID машины пытаются это сделать? Имеет ли какое-либо отношение к этому "конфликт SID", который сказал наш администратор? Почему может помочь запуск newSID?

(2) Отличается ли эта проблема между Windows XP и Windows 7?

(3) Есть ли у Microsoft официальная документация по этому поводу?

Заранее спасибо за вашу помощь!

Я считаю, что у вашего администратора есть некоторые неверные предположения о том, как SID работают в среде домена. SID машины не коррелирует напрямую с SID, созданным для машины в Active Directory. Вся информация о машинах, которые не могут войти в систему или присоединиться из-за того, что другая машина подключена к сети, на самом деле означает, что ваше понимание AD вашим администратором не очень хорошее.

Скорее всего, проблемы, которые вы видите, связаны с истекшим сроком действия паролей учетной записи компьютера / компьютера. Эти пароли генерируются автоматически в AD и менять каждые 30 дней. Если в это время компьютер находится в автономном режиме, он попытается аутентифицироваться со своим старым паролем. Пользователи не смогут войти через эти машины, потому что AD активно отказывается аутентифицировать учетную запись компьютера. Я считаю, что решение, предоставленное вашим администратором, работает, потому что учетная запись и пароль восстанавливаются во время отключения / повторного присоединения домена. Вы можете проверить эту теорию, пропустив шаг 2.

В качестве альтернативы, если на ваших машинах есть powershell v4, вы можете использовать новый Test-ComputerSecureChannel commandlet для проверки состояния доверительных отношений между этим компьютером и доменом. Если powershell v4 недоступен Netdom также можно использовать для сброса машинного пароля.

Если ваше доверие / проверка подлинности подтвердятся, вы можете искать другие проблемы с вашим AD, потенциально репликацию и / или проблемы с ролями FSMO.

Идентификаторы безопасности машинных учетных записей по-прежнему используются некоторыми функциями программного обеспечения Microsoft (WSUS, SCCM, SCEP и т. Д.). Я также видел SID машины, используемый сторонними поставщиками (глядя на вас, Symantec). Вы можете обойтись без sysprepping, но в наши дни с доступными технологиями обработки изображений нет причин пропускать sysprepping вашего образа.

По поводу вашего (2) вопроса. Между Win7 и XP есть некоторые структурные изменения, но, насколько мне известно, не должно быть никаких фундаментальных изменений в том, как работает SID, хотя, как я уже сказал, некоторые требования к программному обеспечению изменились.

Что касается вашего третьего вопроса, я бы рекомендовал прочитать страницы Microsoft Technet для обоих SID а также ознакомьтесь с Страницы устранения неполадок присоединения и аутентификации (также технет). Если это не ответит на все ваши вопросы, я бы посмотрел на книгу или две по этой теме. LDAP и AD действительно могут быть глубоким погружением, но концепции, лежащие в их основе, являются важной частью набора знаний современных ИТ-специалистов.

Как этот SID компьютера играет какую-либо роль в успешном присоединении к домену или входе в систему с учетными данными AD? Что происходит, когда две системы с одним и тем же SID машины пытаются это сделать? Имеет ли какое-либо отношение к этому "конфликт SID", который сказал наш администратор? Почему может помочь запуск newSID?

Это не поможет. Есть еще одна проблема, которая решается (или временно закрывается) путем повторного присоединения к домену.

В только случай, когда это могло бы вызвать проблемы с доменом, - если бы машина была клоном (без нового SID) первый контроллер домена, который использовался для создания этого домена.

SID, регенерируемый NewSID, не является SID (или, точнее, идентификатором подчиненного органа) объекта компьютера в активном каталоге (из-за которого вы можете столкнуться с конфликтами), это идентификатор центра, который используется для локальной базы данных учетных записей пользователей. .

Возвращаясь к «первому контроллеру домена» - ID авторизации SID с этого компьютера становится ID авторизации домена; другие системы, которые имеют такой же SID для своих локальных пользователей, также столкнутся с проблемами в домене. За исключением этого случая, возможного конфликта нет - особенно такого, который мог бы вызвать проблемы связи с доменом.

Другими словами - он тебя не туда искал :)

Отличается ли эта проблема между Windows XP и Windows 7?

Нет, такое же поведение.

Есть ли у Microsoft официальная документация по этому поводу?

Это сообщение в блоге, вероятно, лучший документ, который есть на самом деле.