我有许多运行 Win2k3 和 2k8R2 的机器,我想将它们加入到域中。所有机器都是从同一个映像中创建的,没有使用 sysprep 或类似工具。这意味着它们都具有相同的 SID。如果我尝试将所有这些机器加入到同一个域中,会遇到任何问题吗?
我已经在几台测试机器上尝试过这个,当域控制器与所有其他计算机来自相同的映像时,我遇到了问题(我看到错误日志消息抱怨域控制器 SID 与机器 SID 相同)。
我对新安装的域控制器(因此它们具有不同的 SID)进行了另一项测试,一切似乎正常。
我对此进行了一些研究,发现了一些相互矛盾的信息。我可以找到很多参考资料这帖子,似乎表明重复的 SID 是可以的。我还发现很多人说,除非我更正 SID,否则会发生可怕的、无法形容的事情。
这些重复的 SID 会造成问题吗?
在有人提出以下任何建议之前:
- 对所有这些机器进行全新安装并安装新的 SID 是不可能的,因为需要花上好几个月的时间才能完成所有机器的安装。
- Newsid.exe 已被正式弃用,我不太愿意尝试。它的开发人员尚未在 XP 以上版本上测试过它。
- Sysprep 是不支持在现有的机器上。(第二段)
答案1
重复的机器 SID 不是问题。这就是 NewSID 等工具被弃用的原因。事实上,在关于的博客文章为什么NewSID 已弃用,大约有2页文字解释了为什么这不是问题。
这仅有的本地计算机 SID 暴露在该计算机之外的时间是域中第一个 DC 被提升时。它的本地 SID 用于创建域 SID。这解释了为什么克隆 DC 会出现问题。