Главная > Active Directory, Заметки > История о дублированом SID (обновленная)

История о дублированом SID (обновленная)

Доброго времени суток коллеги. Сегодня пойдет речь о ситуации, с которой я столкнулся, а именно о дублировании SID.
Недавно стала передо мной задача развернуть в тестовой среде System Center Configuration Manager 2007. В моём распоряжении был сервер VMWare vSphere, так как я до этого с ним работал меня не сильно смутил этот факт. Первым делом я развернул виртуальную машину, и установил в ней VMWare Tool. После чего сконвертировал эту виртуальную машину в шаблон, для простоты дальнейшего развёртывания инфраструктуры. После того как виртуальная машина была преобразована в шаблон. Я из этого шаблона развернул три виртуальные машины, одну для домен контролера, одну для MS SQL 2008 R2 и соответственно еще одну для System Center Configuration Manager 2007.  После развёртывания этих виртуальных машин, я развернул на виртуальной машине предназначенной для домен контролера роль Active Directory Domain Services, и поднял домен. После чего ввел две оставшиеся машины в домен, введение прошло без проблем. Первым же делом я решил поднять MS SQL 2008 R2. Вот тут то и появилась первая проблема, на которую я не обратил внимания в начале. Когда Установщик у меня спрашивал, кто будет администратором данного MS SQL сервера, я кликнул данный пользователь и решил добавить группу Доменных администраторов, пользователь успешно добавился,хотя, как оказалось далее он добавил локального администратора(установка проходила от доменного администратора). А вот группу добавлять не захотело, я решил долго разбираться и пошел дальше устанавливать. После установки SQL, компьютер на котором будет жить наш System Center Configuration Manager, необходимо добавить в локальные администраторы компьютера, впрочем, это можно сделать и до установки SQL. И тут второй раз появилась проблема, когда я выбрал кого я хочу добавить в локальные администраторы и нажал применить, компьютер из списка исчез, я очень сильно удивился, но решил добавить компьютер заново, на что получил сообщение в стиле «Ты что не видишь? Он уже и так член группы». Удивлению моему не было придела, но вспомнив о «волшебстве» которое бывает в случае недоступности или не исправности сервере с FSMO ролью Infrastructure Master, хотя этот вариант не подходил к моей ситуации. Я решил, что у меня что-то с настройками брандмауэра и он что-то зарезает, хотя не представлял что он мог зарезать. Не желая долго разбираться с проблемой, я решил просто выключить его на домен контроллере и SQL сервере. Но проблема не исчезла, компьютер по-прежнему не отображался как член группы локальных администраторов. После чего решил выполнить команду “whoami /groups”, и не получил имена доменных групп в которых присутствует пользователь, причем было написано Unknown SID Type. После чего я решил всё-таки проконсультироваться с лучшим специалистом из Microsoft Ukraine – Игорем Шаститко, не вдаваясь в подробности. Игорь, сразу же сказал что проблема с Infrastructure Master. Я понимал, что это не совсем так, ведь у меня один домен. Я решил провести такой же эксперимент на компьютере, на который планировал установить System Center Configuration Manager, и результат был противоположным, всё работало как часы. Вывод был один, домен контролер и сервер на котором планировалось развёртывание System Center Configuration Manager работают правильно. После чего я решил опять пересмотреть Event Log , и я нашел сообщение об ошибке, которое гласило о том, что у компьютера SQL и DEMO одинаковые SID. DEMO это было Netbios имя домена, а SQL – имя сервера на который была произведена установка SQL.
Мы нашли в чем была проблема, как не странно проблема была в дублировании SID домен контролера и сервера на который проводилась установка SQL. Причина продолжительного разбирательства была моя невнимательность. Причина по которой произошло дублирование SID мне не понятно, ведь виртуальная машина, предназначенная для System Center Configuration Manager получила новый SID. Причиной дублирования SID могла быть только VMWare, которой я доверял. Самое интересное во всей этой ситуации не понятно по какой причине не работала преобразование SIDа в имя. Также почему в случае продублированных SID компьютер в домен впустило, но работать не захотело. И ко всему прочему интересен тот фак что при добавление компьютера, на котором планировалась установка SCCM, в локальную группу администраторов компьютера SQL не отображалось в графической оболочке не только имя но и SID. Информацию о поведении компьютера если у него идентичный SID с домен контролером мною найдена не была. По этому остаётся открытым вопрос почему проявились именно такие признаки.

  1. Март 25, 2011 в 22:33

    SCCM? О-о-о… Успехов, Женя.🙂
    Спрашивай, если что.

  2. Апрель 2, 2011 в 07:38

    ты про WDS шаблоны?
    я всегда делаю Sysprep для дублирование одинаковых образов. ИМХО надежнее

  3. Апрель 2, 2011 в 13:39

    Парни, эта тема стара как мир… я ее прошел еще когда ТОЛЬКО появился Hyper-V. По ходу хочу поправить, Infrastructer Master НЕ УПРАВЛЯЕТ СИДАМИ Он важен ТОЛЬКО в том случае, когда более одного домена. (не гоже такое писать MVP, равно как и лучшему спецу в Украине)

    Перед тем как ставить компы на виртуалках, не поленитесь пробежаться СИСПРЕПОМ… что делает SCVMM. да и SCCM делает тоже самое в автоматическом приготовлении иммиджа. Думаете просто так визард там спрашивает «А где у вас пакет с сиспрепом».

    Парни, хватит писать то, что НЕ должен изначально писать MVP

  4. Апрель 2, 2011 в 13:40

    А вообще… не стесняйтесь, спрашивайте…. если что, мы Вам поможем :))))

  5. Апрель 2, 2011 в 17:46

    Андрей интересно с чего вы взяли
    а) что я писал что Infrastructer Master управляет сидами?
    б) Причем тут SCVMM и SCCM если я работал с vCenter не понятно, хотя и не важно.

    Вопрос не в том как таку получилось, а какие последисвия. В целом попытайтесь болие внимательно прочитать.

  6. Апрель 4, 2011 в 00:13

    Женя, суть в том, что Infrastructure Master вообще никаким боком не относится к тому, что машина была поднята из корявого шаблона. Проблема с группами — стандартная проблема в случае необработки эталонной машины сиспрепом.
    Вот Андрей, наверное, и удивляется, почему вы с Игорем стали копать в сторону Infrastructure Master.

  7. Апрель 4, 2011 в 00:19

    Все очень просто:
    1. Вот и я о том же …. при чем тут Infrastructure master, тем более в инфраструктуре с одим доменом! (или у вас было больше одного домена?😉 )… Это вопрос к MVP.
    2. Прочитайте, наконец, документацию о том, как ПРАВИЛЬНО готовить базовые диски, или как Вы называете шаблоны, для виртуалок. Там четко прописаны шаги, после чего, создавая новые разностные диски с одного и того же базового диска, у Вас не будут дубликатов сидов.

  8. Апрель 4, 2011 в 07:00

    Женя, спасибо за объяснение, помойку или я написал по диагонали или в чём-то другом проблема но:
    1) «Infrastructure Master вообще никаким боком не относится к тому, что машина была поднята из корявого шаблона.» Абсолютно верно, она развертывалась средствами VmWare.
    2) При чем тут Infrastructure Master? Да всё просто при представлении SIDа в имя используется и Infrastructure Master.
    3) И опять развертывание, как развёртывать я знаю. И развертывал я их с помощью VMWare vCenter, и сам агент vCenter, делает Sysprep.

  9. Апрель 4, 2011 в 08:56

    1. Евгений, ЕЩЕ раз обращаю ваше внимани. Какая разница в какой виртуальной среде были подняты машины. Не путайте физику и логику (Просто надо научиться готовить БАЗОВЫЕ образы в сочетании с утилитой SYSPREP (Еще раз говорю, прочтите статью, не ленитесь и не показывайте глупость).
    2. Іноді краще жувати, ніж говорити (С). Евгений, стыдно писать такие вещи человеку, который получил статус MVP тем более по АД!!! Infrastructure Master Ответственен только за обновление сидов из других доменов, используя глобальный каталог. В случае с одним доменом Infrastructure Master стоит пасивно и не жужжит. Неужели, логически трудно ВАМ подумать, что было бы, если бы всем компьютерам в домене нужен был Infrastructure Master при аутентификации? А в случае с многими сайтами (а роль уникальная в домене). При аутентификации компьютер использует ВСЕГДА DC из его сайта, плюс сам DC использует GC для проверки членства в универсальных группах. Прочтите хотя бы основы АД (http://technet.microsoft.com/en-us/library/cc773108(WS.10).aspx)

  10. Апрель 4, 2011 в 09:01

    1) Устал говорить со стенкой
    2) Ну тогда обясните причину того что при преобразовании SID в имя не проходило, но поиск по GC проходил? Да и самое главное, второя ВМ разврнутая с этого же шаблона великолептно работает.

  11. Апрель 4, 2011 в 09:14

    Хозяин инфраструктуры

    В любой момент времени в каждом домене может быть только один контроллер домена, выполняющий роль хозяина инфраструктуры. Хозяин инфраструктуры отвечает за обновление ссылок из объектов его домена на объекты в других доменах. Хозяин инфраструктуры сравнивает свои данные с данными в глобальном каталоге.

  12. Апрель 4, 2011 в 09:29

    У Вас много доменов было? Дайте ответ на этот вопрос и после на вопрос кто тут стена?
    На вопрос, почему у вас было не правильное преобразование сидов в имена ответов может быть много. НО, как я вижу в Вашей ситуации — произошло следующее: 1. Вы неправильно подготовили БАЗОВЫЙ образ виртуалок (его надо обработать SYSPREP) 2. Последняя машина перехватила на себя СИД и дальше …. (что тут было — я не знаю, так как не видел Ваших действий). НО, рекомендую заняться решением проблемы НЕ со звонков Игорю, который наверняка занят и может дать ошибочный ответ, а с анализа EventVewer. Там наверняка много ошибок😉 А вот потом уже ищете РЕШЕНИЕ этих ошибок.

  13. Апрель 4, 2011 в 09:33

    Ну, если вы не знаете, то о чём мы говорим? Если честно я был о вас совершенно другого мнения.

  14. Апрель 4, 2011 в 09:36

    А касательно ошибок их было всего 4😉 а да и еще 3 предупреждения😉

  15. Апрель 4, 2011 в 19:44

    Итак, Евгений, чтоб больше ВЫ не повторяли ошибок, которые давно описаны.
    Сегодня мне позвонил Павел Никулин (Бывший тренер, а сейчас прекрасный разработчик под SharePoint и .Net). Звонок был с проблемой точь в точь, как у Вас. Знаете, я Бога возблагодарил, что у меня предоставился шанс поэксперементировать и проверить прав я или нет.
    Суть проблемы — как и в Вашем случае, был создан базовый образ, с которого потом создали несколько виртуальных машин. Так же как и у Вас начали некоректно заполнятся группы безопасности.
    Мои действия — СРАЗУ же сказал, чтоб базовый образ прицепили к какой-то виртуалке, вывели машину из домена, если она была членом домена, и прошлись sysprep. В конце, после выполненых действий, коректно выключить виртуалку (НЕ ПЕРЕГРУЖАТЬ!!!!) и только ПОСЛЕ этого, делать новые разностные диски для новых виртуалок.
    Всё прекрасно заработало и разработчики их компании приступили к формированию новых базовых образов.

    А Вы спорте дальше, что ЧТО-ТО, ГДЕ-ТО не работает.

  16. Апрель 4, 2011 в 19:45

    Вот видите, как хорошо, теперь Вы знаете, какой я ужасный и страшный бармалей.

  17. Апрель 4, 2011 в 19:57

    У меня сегодня другая хрень была. У меня есть эталонный образ засиспрепленный. Когда из одного образа сделал 2 виртуалки, они друг друга в упор не хотели видеть. Мучался часа 2. Первая мысль была, может подсети разные или настройки виртуального сетевого адаптера попутал. Потом после проверки начал грешить на HISP от McAfee. Но все оказалось банальнее некуда — MAC адрес сетевух совпадал (что есть странно ибо раньше с таким не встречался — тулы VMware сами меняли MAC адрес).

  18. Апрель 4, 2011 в 20:14

    Андрей, я в который раз повторяю что как деплоить Windows я знаю, проблема не в том что совпал SID, а в последсвиях которые проявились. И опятьже, только с одной виртуалкой такая проблема была, с другими всё хорошо. Кстати шаблон используется и сейчас и всё работает. Так что где грабли не извесно, и статья была о последсвиях и как они проявились, а не о том что какойто сервис сдублировал SID. Врочем внимательнее прочитайте последний абзац стаьи😉

  19. Апрель 4, 2011 в 21:31

    Рекомендую прочесть интересную статью:
    http://blogs.technet.com/b/markrussinovich/archive/2009/11/03/3291024.aspx

    Там Вы найдете ответы на все Ваши вопросы, касательно дблирующих сидов.

  20. Апрель 6, 2011 в 23:02

    Эх, и хоть бы «спасибо» за полезную ссылку😉

  21. Апрель 6, 2011 в 23:24

    Спасибо. Из-за всей этой суматохи, многое укользнуло от меня.
    О сушествовании этой статьи я знаю, и также о том что есть перевод.
    Надеюсь в ближайшее время перечитать эту статью, и более предметно с вами подискутируем, а возможно все вопросы отпадут.
    Еще раз спасибо.

  22. Апрель 12, 2011 в 22:30

    Мда, парень, ты уроков не принял.

  23. Апрель 13, 2011 в 09:04

    Спасибо всем за комментарии об ошибках в статье я постарался их исправить. Если есть еще конкретные замечания, буду рад их выслушать.

  24. Vlad
    Апрель 13, 2011 в 13:07

    В статье множество ошибок. Не стыдно такое вообще публиковать, да еще и исправлять потом на ходу?

  25. Апрель 13, 2011 в 13:14

    Никто не застраховон от ощибок.
    Не стыдно делать ощибки, стыдно их не исправлять.

  26. Апрель 13, 2011 в 13:16

    Женя, ты явно стебаешься… блог MVP — его лицо, что ты творишь? (((

  27. Апрель 13, 2011 в 13:21

    То что все делают ошибки. Нет непогрешимых людей.
    Но в целом, я считаю что данная тема, не для обсуждея в коментариях к статье.

  28. Николай Кутявин
    Апрель 13, 2011 в 16:53

    Стыдно втихаря менять фразы на противоположные по смыслу. Так только опечатки правятся. Правильный вариант исправления статьи — дописать абзац-другой с уточнениями.

  29. Апрель 13, 2011 в 16:55

    Спасибо, в дальнейшем так постараюсь исправлять статьи.

  1. Апрель 3, 2011 в 13:23

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: