Ermöglicht Active Directory das Hinzufügen von zwei Computern mit demselben Namen?

13

Ich hoffe, dass jemand meine Beobachtungen bestätigen kann, weil ich mein Gedächtnis in Frage stelle ...

Der Titel sagt schon alles. Während wir schnell an der Bereitstellung einer Reihe ähnlicher Systeme arbeiteten, schien es uns möglich zu sein, Systeme mit demselben Namen zu erstellen, und Active Directory erlaubte uns, sie der Domäne hinzuzufügen.

Das Problem war, dass einer der Rechner die Domain nicht mehr "sehen" konnte und sagte, er könne sie nicht mehr sehen.

Ich habe einen Computer aus der Domäne entfernt und ihn dann mit einer Variation des Namens neu hinzugefügt. erinnere ich mich an etwas falsch, oder ist es möglich, zwei Computer zu AD hinzuzufügen und den anderen Computer effektiv aus der Domäne zu entfernen? Liege ich falsch, wenn ich denke, dass AD dies überhaupt nicht zulassen sollte? Ich dachte, dass es eine Warnung geben würde, wie AD, wenn Sie versuchen, einen Benutzernamen hinzuzufügen, der bereits in der AD-Struktur vorhanden ist.

active-directory hostname Bart Silverstrim
quelle
Ich möchte hinzufügen, dass es möglich ist, mehrere Computer mit demselben Namen in derselben Gesamtstruktur (verschiedene Domänen) hinzuzufügen. Microsoft empfiehlt jedoch, dies nicht zu tun.

Antworten:

14

Nein, Computernamen müssen eindeutig sein. Wenn Sie den zweiten Computer mit demselben Namen hinzugefügt haben, hat Windows die Seite in der AD-Datenbank geändert, die zu diesem Namen gehört, sodass der erste Computer nicht mit der Domäne kommunizieren kann.

Um den ersten Computer in der Domäne zu behalten, müssen Sie den zweiten Computer aus der Domäne entfernen und dann den ersten Computer wieder in die Domäne zurücklesen. Fügen Sie dann den zweiten Computer der Domäne unter einem zweiten Namen hinzu.

Um den zweiten Computer in der Domäne zu behalten, nehmen Sie den ersten Computer aus der Domäne, benennen Sie ihn um und fügen Sie ihn unter dem neuen Namen wieder zur Domäne hinzu.

mrdenny
quelle
schlag mich um 8 Sekunden :)
MDMarra
Die Namen müssen eindeutig sein, damit es richtig funktioniert. Ich weiß, dass ... Sie haben es bestätigt. Aber was ich habe mich gefragt , warum war es lassen Sie mich dies tun. Ich habe mich zuerst gefragt, ob das, was passiert ist, wirklich das ist, was ich dachte, da das Verhalten anders ist, wenn beispielsweise ein anderer Benutzer mit demselben Namen hinzugefügt wird (Fehler!)
Bart Silverstrim
1
In der Regel werden Computerkonten in Organisationseinheiten vorab erstellt, bevor sie tatsächlich mit AD verbunden werden. Damit diese Computer beim Beitritt in die richtige Organisationseinheit wechseln können, müssen sie in der Lage sein, AD anstelle eines bereits vorhandenen Kontos beizutreten.
MDMarra
@MarkM: Danke für die Köpfe hoch ... ich war nicht darauf gestoßen! Normalerweise erstellen wir die Maschinen, indem wir die resultierenden Objekte verbinden und dann verschieben. Sie können also die Maschinennamen erstellen und beim Beitritt zur Maschine automatisch Namen erstellen und den SIDS zuordnen.
Bart Silverstrim
Das ist im Grunde richtig. Auf diese Weise müssen Sie sich nicht um die richtigen GPOs kümmern, und Sie müssen nicht daran denken, Dinge zu verschieben.
MDMarra
3

Der Computername ist derselbe, aber die SID ändert sich, wenn Sie einen neuen Computer mit demselben Namen wie den alten hinzufügen. Die SID ist das, woran alles in AD gebunden ist, nicht dasselbe. Dies "stößt" die alte Maschine effektiv aus dem AD heraus, da die entsprechende SID nicht mehr existiert.

MDMarra
quelle
Anscheinend flogen meine Finger etwas schneller als deine.
Mrdenny
0

Sysprepping Sie die Maschinen richtig, um eine andere SID zu erhalten? Ich denke, dass Ihr Problem nicht so sehr mit dem Hostnamen zusammenhängt, als vielmehr mit der SID. In beiden Fällen sollte derselbe Computer nicht mehrmals in AD vorhanden sein, aber ich glaube, dass AD dies tatsächlich zulässt.

Ich denke, der Kern Ihres Problems könnte mit der SID zusammenhängen.


quelle
Ja, sie haben eine andere ID (verwendete NewSID).
Bart Silverstrim
Randnotiz ... ja, das wusste ich, ich wollte sie nicht mehrmals hinzufügen! Es war ein Unfall in den Namen, als wir versuchten, Chargen von Systemen in schneller Folge hinzuzufügen ...
Bart Silverstrim
0

Paar gedanken

NewSID ist wirklich keine unterstützbare Möglichkeit, dies überhaupt zu tun. Sie sollten Sysprep auf jedem Windows 2000-Gerät oder einem besseren Gerät verwenden.

AD erzwingt die Überprüfung der Eindeutigkeit des Computernamens in Bezug auf das sAMAccountName-Attribut, das den Computernamen enthält (gefolgt von einem $ -Zeichen).

Da es sich bei AD um ein verteiltes System handelt, ist es durchaus möglich, dass zwischen den Replikationszyklen zwei Computer mit demselben Namen auf zwei Domänencontrollern erstellt werden. Angenommen, sie werden im selben Container erstellt, würde AD ein Objekt in ein Konfliktobjekt verwandeln.

Brian Desmond
quelle