デプロイされたサーバーのSIDを変更するにはどうすればいいですか?

私は2つのVMを設定し、単純に1つを最初から設定し、それが正しく機能することを確認してから別のホストにコピーする必要がありました。 「このワークステーションとプライマリドメイン間の信頼関係に失敗しました」というメッセージが表示されるようになりました。これは、SIDが両方のマシンで同じであることが原因と考えられます。私は周りを見回し、sysprepとその時点で解決する方法について矛盾する情報をたくさん見ました。

ドメインの問題を抱えているマシンのSIDを更新するだけでいいのですか。もしそうなら、どのように私はそれを達成することができますか?ありがとうございました

4
ru de
これら2つのサーバーはドメイン内の唯一のサーバーですか?それとも、それらはより大きなドメインの一部ですか?前者の場合、DCに昇格する前または後にそれらを複製しましたか?
追加された 著者 Twisty Impersonator,
問題のあるサーバーをドメインから削除してから再び参加させると、新しいSIDが作成されると思います。もしそうなら、あなたはそれを行うことができ、その後サーバーは新しいSIDを持つことになります。
追加された 著者 The Ref,

4 答え

コンピューターのSIDを変更するためのマイクロソフトがサポートしている唯一の方法は、/ generalizeオプションを指定してsysprepを実行することです。

編集:だから..明確に。これは、ドメイン内のコンピュータアカウントSIDが問題であり、コンピュータ/マシンSID自体は問題ではないため、コンピュータSIDは実際には問題にならないという考えに戻ります。コンピュータを削除/削除/再参加すると、ドメイン内に一意のコンピュータアカウントSIDが作成され、彼の問題は本当に解決されます。しかし、技術的には、コンピュータ自体に新しいSIDを作成することはありません。

Mark Russinovich ディスカッションユニークなマシンのSID" myth "とフォローアップ記事。最後に、こちら

個人的には、ドメイン移行プロジェクトの開始時にクローンシステムを使用して新しいドメインのドメインコントローラを作成し、移行元ドメインのサーバーが新しいドメインのユーザーを認証できないというSIDの重複問題に遭遇しましたSIDの重複により、ターゲットドメインに参加するか、ターゲットドメインに参加します。それで、99%の時間、それは問題ではありません..それが問題であるとき、それは吸います。結果として、私はまだ可能なときにユーザーが新しいマシンSIDを生成することをお勧めします。

5
追加された
私は結局、いくつかのsysprepドキュメンテーションページでそのコメントを見ました。私たちはこれを行い、その後設定を更新しましたが、うまくいきました。
追加された 著者 Kai Qing,

「ドメインの問題を抱えているマシンでSIDを更新するだけですべてがうまくいくでしょうか?もしそうなら、どうすればそれを達成できますか?」

はい、できます。 Active Directoryでは、問題のあるサーバーのコンピュータオブジェクトを削除してからドメインに再度参加させる必要があります。これにより、サーバーの新しいSIDが取得されます。ただし、これを実行するとサーバーに新しいコンピューターオブジェクトが作成されるため、新しいSIDを持つため、そのグループメンバーシップ、アクセス許可などをすべて再作成する必要があります。 Active Directoryは同じサーバーとして認識しません。

編集 私は自分の指示に従って、私のサーバーに新しいSIDが発行されたことを知りました。私の森はWindows Server 2012レベルです。

Before I deleted my server from AD and removed it from the domain enter image description here

The SID after rejoining the domain. enter image description here

ドメインに戻ってから2回再起動しなければなりませんでした。 そのため、私には、コンピュータはActive Directoryから新しいSIDを受け取ります。

  • AD内のコンピュータオブジェクトを削除する
  • ドメインからの削除
  • もう一度ドメインに参加する
2
追加された
同じドメインに再参加しても、コンピュータのSIDは変わりません。一般に、コンピュータのSIDは、いくつかの例外(ドメインコントローラ、WSUS、その他いくつかの例外)を除いて、もう問題になりません。
追加された 著者 Jared,
技術的には、マシンのSID自体はあなたのスクリーンショットでは変更されていません。コンピュータマシンのSIDはxxxx-2834132745です。 -13155と-6646の部分は、ドメイン内のコンピューターオブジェクト(xxxx-BB4 $ object)SIDを表します。あなたはここでもっと読むことができます:ブログ.msdn.microsoft.com/aaron_margosis/2009/11/05 /…
追加された 著者 Jared,
これは、コンピュータSID自体は問題ではなく、コンピュータアカウントSIDが問題であるため、コンピュータSIDは(ドメインコントローラを除く)実際には問題にならないという考えに戻ります。コンピュータを削除/削除/再参加すると、ドメイン内に一意のコンピュータアカウントSIDが作成され、彼の問題は本当に解決されます。しかし、技術的には、コンピュータ自体に新しいSIDを作成することはありません。
追加された 著者 Jared,
@ ArtVandelay05はい。私のさらなる考えや経験を与えるために上記の私の答えを広げました(そしてリンク!)。私たちは基本的に異なる角度から問題に直面していたので、またあなたの答えから私の投票を削除しました:)
追加された 著者 Jared,
私は私の答えからの結果の写真を投稿しました。写真は私の編集した答えの中にあります。何が足りないの?私のComputerオブジェクトに新しいSIDが発行されたようです。私は間違っているかもしれません。
追加された 著者 The Ref,
@Rexええ、それは私がそれが問題を解決するだろうと思っていたものですADはコンピュータオブジェクトSIDだけを気にするので、そうですか?それは、AD内のオブジェクトを「識別」するためのプロセスだからです。
追加された 著者 The Ref,
と言っています:)あなたがマシンSIDとドメインSIDで共有したリンクは良い読み物です。それは私のために煙を一掃した。
追加された 著者 The Ref,

任意のWebサイトからNewSIDをダウンロードしてください。 SIDの問題があるローカルのAdministratorアカウントに移動し、このツールを実行してコンピュータを再起動します。これでシステムはドメインアカウントにアクセスできるようになります。

1
追加された
NewSIDはサーバー2008以降では動作しません。
追加された 著者 Jared,

NewSIDの精神的後継者、 SIDCHG をご覧ください。

ローカルコンピュータのSIDとコンピュータ名を変更するためのコマンドラインユーティリティ   Windows 2016/10/8.1/2012 R2/8/2012/7/2008 R2/2008/Vista/2003/XP用。   現在のコンピュータのSIDを新しいランダムなSIDに置き換えます。また、それは   Windows Updates、MachineGuid、DeviceのWSUS IDを変更します。   最新のWindowsアプリの識別子、MSDTC CID、Dhcpv6 DUID、   暗号化されたファイルを保存するための暗号化状態、Windowsの動作   センターの設定、証明書、その他の暗号化された保存情報。

0
追加された