Позволит ли Active Directory добавить два компьютера с одинаковым именем?

13

Я надеюсь, что кто-то может подтвердить мои наблюдения, потому что я подвергаю сомнению мою память ...

Название вроде говорит само за себя. Быстро работая над развертыванием ряда подобных систем, оказалось, что мы смогли создать системы с одинаковыми именами, и Active Directory позволила нам добавить их в домен.

Проблема заключалась в том, что одна из машин больше не «видела» домен, говоря, что больше не может его видеть.

Я удалил машину из домена, а затем снова добавил ее с изменением имени; я что-то запомнил, или можно добавить две машины в AD и эффективно удалить другую машину из домена? Я ошибаюсь, думая, что это то, что AD не должен допустить в первую очередь? Я думал, что это даст предупреждение, как это делает AD, когда вы пытаетесь добавить имя пользователя, которое уже существует в структуре AD.

Барт Сильверстрим
источник
Я хотел бы добавить, что можно добавить несколько компьютеров с одинаковым именем в одном лесу (разные домены). Microsoft рекомендует не делать этого, хотя.

Ответы:

14

Нет, имена компьютеров должны быть уникальными. Когда вы добавили второй компьютер с тем же именем, Windows изменила sid в базе данных AD, которая соответствует этому имени, и первая машина не смогла связаться с доменом.

Чтобы оставить первый компьютер в домене, вам необходимо удалить второй компьютер из домена, а затем снова скопировать первый компьютер в домен. Затем добавьте вторую машину к домену под вторым именем.

Чтобы сохранить второй компьютер в домене, возьмите первый компьютер из домена, переименуйте его и добавьте обратно в домен под новым именем.

mrdenny
источник
побей меня на 8 секунд :)
MDMarra
Имена должны быть уникальными, чтобы они работали должным образом, я знаю, что ... хорошо, вы это подтвердили. Но мне было интересно, почему это позволило мне сделать это. Я на самом деле сначала задумался, действительно ли то, что произошло, было тем, о чем я думал, потому что поведение отличается, когда, скажем, добавление другого пользователя с таким же именем (ошибка!)
Барт Сильверстрим
1
Что ж, обычной практикой является предварительное создание учетных записей компьютеров в подразделениях до их фактического присоединения к AD. Чтобы эти компьютеры могли входить в надлежащее подразделение при их присоединении, им необходимо иметь возможность присоединиться к AD вместо уже существующей учетной записи.
MDMarra
@MarkM: Спасибо за внимание ... Я не сталкивался с этим! Обычно мы создаем машины, соединяя, а затем перемещая полученные объекты. Таким образом, вы можете создавать имена машин, а присоединение к машине автоматически создает и связывает имена с SIDS?
Барт Сильверстрим
Это в основном правильно. Таким образом, вам не нужно беспокоиться о правильном применении объектов групповой политики, и вам не нужно помнить, что нужно что-то менять.
MDMarra
3

Имя машины такое же, но SID меняется, когда вы добавляете новый компьютер с тем же именем, что и у старого. SID - это то, к чему привязано все в AD, а не то же самое. Это эффективно «удаляет» старую машину из AD, так как соответствующий SID больше не существует.

MDMarra
источник
Видимо мои пальцы летели немного быстрее твоих.
Мрденни
0

Правильно ли вы готовите машины для получения другого идентификатора безопасности? Я думаю, что ваша проблема не столько в имени хоста, сколько в SID. В любом случае, вы не должны иметь одну и ту же машину в AD несколько раз, но я верю, что AD действительно позволяет этому случиться.

Я думаю, что суть вашей проблемы может быть связана с SID.


источник
Да, они отправлены на другой идентификатор (используется NewSID).
Барт Сильверстрим
Примечание: да, я знал это, я не хотел добавлять их несколько раз! Это была случайность в именах, так как мы пытались добавлять партии систем в быстрой последовательности ...
Барт Сильверстрим
0

Пара мыслей

NewSID на самом деле не является приемлемым способом сделать это вообще. Вы должны использовать Sysprep на любом устройстве Windows 2000 или выше.

AD выполнит проверку уникальности имени компьютера в отношении атрибута sAMAccountName, который будет иметь имя компьютера (за которым следует знак $).

Поскольку AD является распределенной системой, вполне возможно, что два цикла могут быть созданы с одинаковым именем на двух контроллерах домена между циклами репликации. Предполагая, что они созданы в одном и том же контейнере, AD превратит их в объект конфликта.

Брайан Десмонд
источник