Win2008R2 詭異SID問題

windows vmware 2008 r2

Ken(Bigcandy) 2012-03-23 19:03:58 ‧ 12363 瀏覽

分享至

最近測試AD、DC、異機還原等，被SID整死了，因為我發現他非常詭異
VM/2008R2 Dcpromo成為DC之後，它的SID=主控站，這真是離譜！！

環境：
VMWare Workstation 7+VMWare ESXi 5
既有AD，5大角色DC是Win2008 R2 Std，SID暫且稱之為SID001
工具：
1.PSgetsid查找SID
2.sysprep (3.14)/generalize 重建Widnows初始環境包含SID

問題在於VM底下的Win2008 R2
A.全新安裝，完成後檢查SID
B.執行sysprep /generalize，得到新的一組SID
C.這個新的VM+新的SID，加入網域、檢查SID正常，接著dcpromo成為新的DC
D.執行PSTOOLS，發現他的SID竟然是SID001，跟主控站的SID一模一樣
E.主控站會出現AD驗證錯誤，應該就是出現SID重複造成，這時候的VM/DC偶而可以正常降級(會有錯誤)或是無法正常降級只能由ADSI刪除，無法正常降級(無法連絡伺服器、PRC伺服器無法使用)

我做過多次，都一樣結果

類似問題但沒有解決：http://communities.vmware.com/thread/325746
http://blogs.technet.com/b/askcore/archive/2009/10/16/kms-host-client-count-not-increasing-due-to-duplicate-cmid-s.aspx

該怎麼解決這問題？VM機器只要加入AD，SID就會和DC1(PDC)重複。

林門神JanusLin iT邦超人 1 級 ‧ 2012-03-23 20:09:44 檢舉

糖果哥哥
Good Job
^^

Ken(Bigcandy) iT邦大師 1 級 ‧ 2012-03-26 18:41:08 檢舉

請問大家，我今天發現，是『所有的DC』都具有完全一樣的SID，大家的情況也一樣嗎？
所以我加入成為DC(無論虛擬機、實體機)之後，加上原本的三台DC，這些DC的SID，全部都是一樣的！！

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

5 個回答

jay214

iT邦研究生 3 級 ‧ 2012-04-10 04:41:28

最佳解答

這是 By Design 的行為壓, 您提供的文件都有答案壓..?
因此您的問題應該跟重複SID無關..

DCs will share the same machine SID, but have different object SIDs assigned to them.
To get the object SIDs I used this command :

dsquery computer "CN=DC...." | dsget computer -sid
DC : S-1-5-21-XXXXXXXXXX-348XXXX150-31XXXX7983-1000
DC : S-1-5-21-XXXXXXXXXX-348XXXX150-31XXXX7983-2105

回應 3
分享
檢舉

Ken(Bigcandy) iT邦大師 1 級 ‧ 2012-05-29 15:12:46 檢舉

http://technet.microsoft.com/zh-tw/library/cc731950(v=ws.10).aspx
1.您的指令我弄不出來，上面的微軟文件讓我試出來了，感謝您的提示
2.SID問題.....目前還是沒解決

Ken(Bigcandy) iT邦大師 1 級 ‧ 2012-06-18 14:35:17 檢舉

我補充完整結果如下
取得單機SID：使用pstools工具裡面的PsGetsid.exe
取得網域DC的SID：

先用dsquery computer取得完整網域尾碼+電腦名稱
"CN=Servername,OU=Domain Controllers,DC=domain,DC=com,DC=tw"
指令：
dsquery computer DC=domain,DC=com,DC=tw -name Servername| dsget computer -sid

單機用PsGetsid.exe、網域用dsget computer -sid，得到的SID不同
DC顯示出來的SID將一樣