6 votos

¿Cómo cambiar el SID del servidor desplegado?

Necesitaba configurar 2 vms e ingenuamente simplemente configuré uno desde cero, me aseguré de que funcionaba correctamente y luego lo copié a otro host. Ahora recibo el mensaje "la relación de confianza entre esta estación de trabajo y el dominio primario falló" que aparentemente se debe a que el SID es el mismo en ambas máquinas. He mirado por ahí y veo mucha información contradictoria sobre sysprep y cómo resolver en este punto.

¿Puedo simplemente actualizar el SID de la máquina que tiene problemas con el dominio y entonces todo estará bien? Si es así, ¿cómo puedo lograrlo? Gracias

1 votos

Quiero pensar que al eliminar el servidor problemático del dominio y volver a unirlo se creará un nuevo SID. Si es así, podría hacer eso y entonces el servidor tendrá un nuevo SID.

0 votos

¿Son estos dos servidores los únicos del dominio? ¿O forman parte de un dominio mayor? Si es lo primero, ¿los has clonado antes o después de promoverlos a DC?

7voto

Rex Puntos 5812

El único método soportado por Microsoft para cambiar el SID del ordenador es ejecutar sysprep con la opción /generalize

edit: Así que aclarando. Esto vuelve a la idea de que el SID del ordenador realmente no importa (excepto para los controladores de dominio) porque es realmente el SID de la cuenta del ordenador en el dominio lo que importa y no el SID del ordenador/máquina en sí. Eliminar/borrar/reunir el ordenador creará un único SID de cuenta de ordenador en el dominio y realmente resolverá su problema. Pero no crearía, en el sentido técnico, un nuevo SID para el propio ordenador.

Mark Russinovich discutido el "mito" del SID único de la máquina y hay un seguimiento artículo de otro autor que entra en detalles adicionales. Por último, hay este Post de MSDN que, me parece, ilustra el SID de la cuenta de equipo de la máquina frente al del dominio con bastante claridad.

Personalmente, me he encontrado con el problema del SID duplicado cuando se utilizó un sistema clonado para crear el Controlador de Dominio para un nuevo dominio al comienzo de un proyecto de migración de dominio y los servidores del dominio de origen no pudieron autenticar a los usuarios en el nuevo dominio de destino o unirse al dominio de destino debido a la duplicación del SID. Así que, el 99% de las veces, no importa pero cuando importa, es una mierda. Como resultado, sigo recomendando a los usuarios que generen nuevos SID de máquina cuando puedan hacerlo.

0 votos

Al final vi ese comentario en algunas de las páginas de documentación de sysprep. Lo hicimos, actualizamos la configuración después y funcionó.

2voto

user1279156 Puntos 28

"¿Puedo simplemente actualizar el SID de la máquina que tiene problemas con el dominio y entonces todo estará bien? Si es así, ¿cómo puedo lograrlo?"

Sí que puedes. En Active Directory tendrá que eliminar el objeto ordenador de su servidor problemático y luego volver a unirlo al dominio. Esto le permitirá obtener un nuevo SID para el servidor. Sin embargo, al hacer esto se crea un nuevo objeto informático para su servidor, por lo que habrá que volver a crear todas sus pertenencias a grupos, permisos, etc., ya que tiene un nuevo SID. Active Directory no lo ve como el mismo servidor.

EDITAR He seguido mis propias instrucciones y he comprobado que mi servidor ha recibido un nuevo SID. Mi bosque es de nivel Windows Server 2012.

Antes de borrar mi servidor de AD y eliminarlo del dominio enter image description here

El SID después de reincorporarse al dominio. enter image description here

He tenido que reiniciar dos veces después de volver a unirme al dominio. Así que, para mí, el equipo recibe un nuevo SID de Active Directory después de

  • eliminar el objeto ordenador en AD
  • Eliminación del dominio
  • Volver a unirse al dominio

1 votos

Al volver a unirlo al mismo dominio no se cambia el SID del ordenador. En general, el SID del ordenador ya no importa, con algunas excepciones (controladores de dominio, WSUS y algunos otros).

0 votos

@Rex He publicado fotos de los resultados de mi respuesta. Las fotos están en mi respuesta editada. ¿Qué me falta? Me parece que mi objeto Computadora recibió un nuevo SID. Sin embargo, puedo estar equivocado.

0 votos

Técnicamente, el SID de la máquina en sí no ha cambiado en sus capturas de pantalla. El SID de la máquina del ordenador es el xxxx-2834132745. Las partes -13155 y -6646 representan el SID del objeto ordenador (objeto xxxx-BB4$) en el dominio. Puede leer más aquí: blogs.msdn.microsoft.com/aaron_margosis/2009/11/05/

2voto

Nikola Puntos 2491

Si la instancia no está ocupada, o es una nueva instalación, ejecute C:\Windows\system32 >Sysprep \sysprep.exe y comprobar generalizar

0voto

Miles Wolbe Puntos 16

Echa un vistazo al sucesor espiritual de NewSID, SIDCHG :

Utilidad de línea de comandos para modificar el SID y el nombre del ordenador local, para Windows 2016/10/8.1/2012 R2/8/2012/7/2008 R2/2008/Vista/2003/XP. Sustituye el SID actual del ordenador por un nuevo SID aleatorio. Además Además, cambia el ID de WSUS para Windows Updates, el MachineGuid, el Device para las aplicaciones modernas de Windows, el CID de MSDTC, el DUID de Dhcpv6 y el estado de cifrado para conservar los archivos cifrados, la configuración del Centro de Centro de Acción de Windows, Certificados y otra información almacenada encriptada.

-1voto

Sairam Puntos 1

Descargue NewSID desde cualquier sitio web. Vaya a la cuenta de administrador local que tiene el problema del SID, ejecute esta herramienta y reinicie el ordenador. Ahora el sistema será capaz de acceder a la cuenta de dominio.

0 votos

NewSID no funciona con el servidor 2008 y superior.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: