m.marz
Goto Top

Computer ID nach dem Image zurückspielen ändern

Hallo zusammen,

ich habe öfters mitbekommen das Rechner die von einem Image oder geklont worden sind, probleme nachher mit der Domäne haben,
da sie dann die selbe SID haben.

Auf einigen artikeln habe ich auch gelesen das es mittlerweile egal sein soll und identische SID´s spielen in der Domäne keine große Rolle mehr.

Ist das den so richtig?

Und wenn nein, mit welchem Tool kann ich die SID ändern?

vielen dank.

Content-Key: 317745

Url: https://administrator.de/contentid/317745

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: SeaStorm
SeaStorm 13.10.2016 um 16:37:43 Uhr
Goto Top
Hi

sysprep ist das, wonach du suchst
Mitglied: Kraemer
Kraemer 13.10.2016 um 16:39:40 Uhr
Goto Top
Moin,
Zitat von @M.Marz:
Auf einigen artikeln habe ich auch gelesen das es mittlerweile egal sein soll und identische SID´s spielen in der Domäne keine große Rolle mehr.
wo hast du denn diesen Blödsinn gelesen?

Gruß Krämer
Mitglied: emeriks
emeriks 13.10.2016 um 16:40:14 Uhr
Goto Top
Hi,
das ist meines Wissens nur dann kritisch, wenn Du in einer Domäne mit einem Image von Windows Server arbeitest, und dieses Image auch für die Erstellung neuer Domänen (1. DC einer neuen Domäne) verwendet wird. Wenn es schon eine andere Domäne gibt, deren 1. DC von diesem Image erstellt wurde ohne eine neue SID zu generieren, oder weitere Memberserver gibt, weche von diesem Image erstellt wurden ohne eine neue SID zu generieren, dann gibt es Probleme beim Zugriff von diesen Servern auf die Domäne.

Bei Workstations kann man es ignorieren. Bei Servern sollte man immer eine neu SID erzeugen.

E.
Mitglied: emeriks
emeriks 13.10.2016 um 16:42:20 Uhr
Goto Top
wo hast du denn diesen Blödsinn gelesen?
Doch das ist so. Das musste ich auch lernen. Mit Ausnahme des Erstellens neuer Domänen. Wenn man eine neue Domäne erstellt, dann erhält die Domäne die SID des Servers, welchen man als erstes zum DC dieser Domäne promotet.
Mitglied: Kraemer
Kraemer 13.10.2016 um 16:47:44 Uhr
Goto Top
Zitat von @emeriks:

wo hast du denn diesen Blödsinn gelesen?
Doch das ist so. Das musste ich auch lernen. Mit Ausnahme des Erstellens neuer Domänen. Wenn man eine neue Domäne erstellt, dann erhält die Domäne die SID des Servers, welchen man als erstes zum DC dieser Domäne promotet.
Nur weil das in vielen fällen nicht zu Prblemen führt, heißt das noch lange nicht, dass das "best practice" ist.

Gruß Krämer
Mitglied: emeriks
emeriks 13.10.2016 um 16:56:43 Uhr
Goto Top
Nur weil das in vielen fällen nicht zu Prblemen führt, heißt das noch lange nicht, dass das "best practice" ist.
Würde ich so auch nicht machen.
Mitglied: SlainteMhath
SlainteMhath 13.10.2016 um 16:57:32 Uhr
Goto Top
Moin,

aus https://blogs.technet.microsoft.com/markrussinovich/2009/11/03/the-machi ...

[...] machine SID duplication – having multiple computers with the same machine SID – doesn’t pose any problem, security or otherwise. [...]

lg,
Slainte
Mitglied: Kraemer
Kraemer 13.10.2016 um 16:58:28 Uhr
Goto Top
Mitglied: Kraemer
Kraemer 13.10.2016 aktualisiert um 17:00:11 Uhr
Goto Top
Zitat von @SlainteMhath:

Moin,

aus https://blogs.technet.microsoft.com/markrussinovich/2009/11/03/the-machi ...

[...] machine SID duplication – having multiple computers with the same machine SID – doesn’t pose any problem, security or otherwise. [...]

lg,
Slainte
Und genau der Typ ist mit seiner Meinung größten Teils zurückgerudert, weil ihm mehrfach bewiesen wurde, dass seine Aussage nicht (immer) zutreffend ist (siehe mein Link "Eindeutige Computer-SIDs unwichtig?")
Mitglied: Pjordorf
Pjordorf 13.10.2016 aktualisiert um 17:13:44 Uhr
Goto Top
Hallo,

Zitat von @emeriks:
wenn Du in einer Domäne mit einem Image von Windows Server arbeitest
Dann sowieso. Die Computer SID doppelt oder mehrfach ist ansich nichts schlimmes im Netz. Aber ... Hast du einen WSUS am laufen, dann knallts. Der WSUS ist noch einer der wenigen der sich fast ausschliesslich mit der Computer SID der Clients beschäftig und anhand diese die Clients erkennt und auseinander hält. Es gab auch mal mehr von dieser Software.... wie gesagt, es gab...

Ein DC scherrt sich sich gar nicht ob die Computer SID verdopplet oder mehrmals vorhanden ist. Der nutzt noch andere mechanismen.

Sysprep und dann ein Image erstellen, dann gibt es definitiv keine probleme. Sysprep selbst setzt ja nicht nur die Compueter SID zurück, da passiert schon eine ganze menge mehr (was wir aber nicht sehen)

Aber wer es genau wissen will sollte sich mal Mark Russinovich's gedanke dazu komplett durchlesen, dann versteht man warum gerade auch Mark einer der ersten war der das NewSID komplett infrage stellte - was ja auch dann verschwand, oder verschwand es weil MS und das Leben mit sein Sysprep schwer machen wollte?face-smile
https://blogs.technet.microsoft.com/markrussinovich/2009/11/03/the-machi ...

Bei Workstations kann man es ignorieren.
Wenn dort niemals ein WSUS oder andere (Fremd)Software laufen tut wo eben die Computer SID genutzt wird, kann die Computer SID auf jeden Client gleich sein. Dem D störts nicht und die Clients untereinder ebenfalls nicht.
Note that Sysprep resets other machine-specific state that, if duplicated, can cause problems for certain applications like Windows Server Update Services (WSUS), so Microsoft’s support policy will still require cloned systems to be made unique with Sysprep

Gruß,
Peter
Mitglied: DerWoWusste
DerWoWusste 13.10.2016 um 19:51:25 Uhr
Goto Top
Ganz simpel: wenn Du einen Rechner duplizierst, kannst Du ihn nicht mit dem selben Namen in der Domäne betreiben. Du gibst ihm also einen neuen und nimmst ihn aus der Domäne raus und wieder rein. Keine weiteren Nebenwirkungen.
Mitglied: M.Marz
M.Marz 14.10.2016 um 10:32:01 Uhr
Goto Top
danke leute,

brauche ich also keine extra tools um die sid zu erneuer?
reicht es da einfach aus den rechner neu in die domäne aufzunehmen?

lg
Mitglied: DerWoWusste
DerWoWusste 14.10.2016 um 10:40:28 Uhr
Goto Top
Ja, das reicht. Sysprep nutzen Leute, die Deployments machen. Wenn Du mal ein paar Rechner klonst, fährst Du schneller ohne, indem Du einfach den Klon vom Netzwerk getrennt hochfährst, dich anmeldest, ihn umbenennst und aus der Domäne entfernst (geht beides offline) und nach dem Neustart das Netzwerk wieder aktivierst und ihn wieder in die Domäne aufnimmst.
Mitglied: SlainteMhath
Lösung SlainteMhath 14.10.2016 um 10:40:58 Uhr
Goto Top
brauche ich also keine extra tools um die sid zu erneuer?
Ausser Sysprep nichts.

reicht es da einfach aus den rechner neu in die domäne aufzunehmen?
Die Reihenfolge ist:
1. OS und Software installieren
2. Rechner aus der Domäne nehmen falls gejoint
3. Sysprep + shutdown
4. Image ziehen
5. Image auf neuen Rechner bügeln
6. Name ändern
7. Domain Join
Mitglied: emeriks
emeriks 14.10.2016 um 10:49:16 Uhr
Goto Top
ihn umbenennst und aus der Domäne entfernst (geht beides offline)
Das muss sogar offline erfolgen!
Mitglied: DerWoWusste
DerWoWusste 14.10.2016 um 10:55:55 Uhr
Goto Top
Ja ach... wir wollen ja nicht das Original entfernen, logisch oder? Deswegen schreibe ich ja auch vom Netzwerk trennen.
Mitglied: emeriks
emeriks 14.10.2016 um 10:59:56 Uhr
Goto Top
Na ja, wenn jemand nach sowas fragt und bekommt im Nebensatz gesagt "geht beides offline", dann, fürchte ich, könnte das auch als "muss aber nicht" interpretiert werden.
Mitglied: DerWoWusste
DerWoWusste 14.10.2016 um 11:06:37 Uhr
Goto Top
Wenn es so gewesen wäre, würde ich dir Recht geben.
Mitglied: M.Marz
M.Marz 14.10.2016 um 12:33:44 Uhr
Goto Top
ich danke euch Leute :DD