[Techinfo] Windows fagyás újra
György Gál
george730208 at gmail.com
2019. Jan. 9., Sze, 19:53:14 CET
Nos én végignéztem a netacadémián Barcsi Tamás tanfolyamát a windowsos active directory DC-ről.
Abban ő azt mondja, hogy az mindenképpen káros, ha úgy van két vagy akár több számítógép a domainbe beléptetve, hogy azok SID-je azonos. Mert bármilyen objektum, aminek a SID-je azonos, az logikailag egy és ugyanaz az objektum lesz.
A para az, hogy (ezt ő mondta, nem én) windows server 2008R2-ig bezárólag a DC megengedi két azonos SID-del rendelkező gép beléptetését a domainbe. Hogy az így, az AD-ban létrejövő két objektum objectSID-je különböző lesz, az már más tészta. Viszont hogy ez a két létrejött objektum logikailag egy és ugyanaz, az biztos. És az ebből fakadó hibák nem is jönnek elő csak esetleg hónapokkal később. Erre példát is felhoz egy exchange szerver esetében, ami visszavezethető volt az azonos SID-ekre.
Szóval én csak annyit szeretnék javasolni Nektek, hogy ha image-eltek és az ezekből „létrehozott“ gépeket domainbe szeretnétek léptetni, még a beléptetés előtt 0-dik lépésként jusson eszetekbe, hogy ezeknek a gépeknek nem lehet ugyanaz a SID-je!!!
Gondoskodni kell a különböző machine SID-ekről, mert így szvsz rengeteg későbbi problémától mentitek meg magatokat.
Az ugye meg csak hab a tortán, hogy ahogy említettem is, 2008R2-ig bezárólag a DC megengedi az azonos SID-ekkel a beléptetést és szerintem sokaknál ezért nem is tűnik fel ez a probléma és image-el veszettül. És ha jól tévedek, sulixerver DC-jébe is be tudok ilyen gépeket léptetni.
Az hogy a kolléga gépeinél a fagyást valami ilyesmi okozza, az egyáltalán nem biztos. Csak arra lettem figyelmes, hogy azt írta még az elején, hogy a probléma domainbe léptetett, image-ből létrehozott gépeknél fordult elő nála általában.
Plusz nézegettem a logot is, amit föltettél és hát nem tudom, annyira nem vagyok nagy szaki…
… de mindjárt az elején az a DNS probléma: Hiba 2019. 01. 09. 12:04:01 NETLOGON 5789 Nincs "Az Active Directoryban levő számítógép-objektumhoz tartozó DNS-állomásnév frissítése nem sikerült. A frissített érték: 'n-02.neumann.openedu.hu'. A következő hiba történt: A hozzáférés megtagadva.“
Aztán a következő: Hiba 2019. 01. 09. 12:03:35 Microsoft-Windows-GroupPolicy 1055 Nincs "A csoportházirend feldolgozása sikertelen. A Windows nem tudta feloldani a számítógépnevet. Ezt a következők okozhatják: a) Névfeloldási hiba az aktuális tartományvezérlőn.
A b variánst kilőném, nem hiszem, hogy egynél több tartományvezérlőd van…
Lehet, hogy első körben inkább a szerveren nézelődnék? A DC alapja egy jól működő DNS és ehhez szorosan kapcsolódik az AD része is a dolognak.
Elgondolkodva a dolgon, lehet azt csinálnám, hogy az összes gépet kiléptetném a domainből. Aztán az összesen megváltoztatnám a gépneveket valami másra. Persze a sulixerveren is fel kellene őket újra venni egyenként mondjuk egy másik terembe ezekkel a nevekkel, a régieket meg törölni.
A SID-eket tuti megváltoztatnám mielőtt továbblépnék, főleg hogy image-elt gépekről van szó. Ezután visszaléptetném őket bízva abban, hogy mindnek különböző a machine SID-je. Ekkor létrejönnének az AD-ben a megfelelő új bejegyzések. A userekhez és egyebekhez nem kell hozzányúlni.
De persze az is lehet, hogy a probléma oka valami tök más. Például egy nem megfelelő driver a hálókártyához? És azzal image-eltél végig… bár ezt azért kétlem, mivel gondolom ment a hálózatra még a DC-be léptetés előtt.
Vagy tényleg csak valami pillanatnyi áramingadozás okozza az egész galibát?
> On 2019. Jan 9., at 13:17, Takacs Tibor <TakacsT at ntszki.hu> wrote:
>
> Sziasztok!
>> De nem csak a user-eknek van SID-je a domainben, hanem minden objektumnak, így a számítógépeknek is.
>> Domain-be léptetéskor nem készül user account. A domainben már meglévő user account-tal (pl adminisztrátori account) tudsz belépni a domainben lévő host-on. A host domainbe léptetésekor kéri is a domainbeli adminisztrátor accountját, különben nem tudod a gépet beléptetni a tartományba.
>> Ne a userek SID-jét nézd, hanem a domainbe léptetett host-ok (computers) SID-jeit, hogy azok vajon különbözőek-e?
> Igen, azt néztem:
> pl.: gépnév: TITKARSAG -> készül egy samba"user" TITKARSAG$ néven. Ezeknek a SIDjei
> különbözőek. (Mármint két gépé...)
>
> Üdv:
> TT
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
További információk a(z) Techinfo levelezőlistáról