我需要设置 2 个虚拟机,并天真地从头开始设置一个,确保它正常工作,然后将其复制到另一台主机。现在收到消息“此工作站与主域之间的信任关系失败”,这显然是由于两台机器上的 SID 相同。我四处查看,发现很多关于 sysprep 的相互矛盾的信息以及此时如何解决。
我是否可以只更新有域问题的机器的 SID,然后一切就都好了?如果可以,我该怎么做?谢谢
答案1
Microsoft 支持的唯一更改计算机 SID 的方法是使用 /generalize 选项运行 sysprep
编辑:所以……澄清一下。这又回到了计算机 SID 实际上并不重要(域控制器除外)的想法,因为真正重要的是域中的计算机帐户 SID,而不是计算机/机器 SID 本身。移除/删除/重新加入计算机将在域中创建一个唯一的计算机帐户 SID,并真正解决他的问题。但从技术意义上讲,它不会为计算机本身创建一个新的 SID。
马克·鲁西诺维奇讨论独特的机器SID“神话”还有后续文章另一位作者对此进行了更详细的介绍。最后,这我发现,MSDN 帖子非常清楚地说明了机器与域计算机帐户 SID。
就我个人而言,我曾遇到过重复 SID 问题,即在域迁移项目开始时使用克隆系统为新域创建域控制器,而源域中的服务器由于 SID 重复而无法对新目标域上的用户进行身份验证或加入目标域。因此,99% 的情况下,这并不重要……但当它确实重要时,就很糟糕了。因此,我仍然建议用户在能够生成新机器 SID 时生成新机器 SID。
答案2
“我是否可以只更新存在域问题的机器的 SID,然后一切就都好了?如果可以,我该如何实现呢?”
是的,可以。在 Active Directory 中,您需要删除问题服务器的计算机对象,然后将其重新加入域。这将为服务器获取一个新的 SID。但是,这样做会为您的服务器创建一个新的计算机对象,因此需要重新创建其所有组成员身份、权限等,因为它具有新的 SID。Active Directory 不会将其视为同一台服务器。
编辑我按照自己的指示操作,发现我的服务器已获得新的 SID。我的林是 Windows Server 2012 级别。
重新加入域后,我不得不重启两次。因此,对我来说,计算机在以下情况下会从 Active Directory 收到新的 SID:
- 删除 AD 中的计算机对象
- 从域中删除
- 再次加入域
答案3
如果实例不忙,或者是新安装,则运行C:\Windows\system32>Sysprep\sysprep.exe并检查概括