Чи дозволить Active Directory додати два однойменних комп’ютера?

Я сподіваюся, що хтось може підтвердити мої спостереження, тому що я ставлю під сумнів свою пам’ять ...

Назва заголовку говорить все це. Під час швидкої роботи над розгортанням ряду подібних систем виявилося, що нам вдалося створити системи з тим самим іменем, і Active Directory дозволив нам додати їх до домену.

Проблема полягала в тому, що одна з машин більше не «бачила» домен, кажучи, що більше не може бачити його.

Я видалив машину з домену, а потім повторно додав її з варіацією до імені; я щось неправильно пам’ятаю, чи можна додати дві машини до AD та ефективно скинути іншу машину з домену? Я помиляюся, думаючи, що це не те, що AD в першу чергу не повинен допускати? Я думав, що це попередить, як це робить AD, коли ви намагаєтеся додати ім’я користувача, яке вже існує в структурі AD.

Ні, імена комп'ютерів повинні бути унікальними. Коли ви додали другий комп'ютер з тим самим іменем, Windows змінив sid у базі даних AD, що відповідає цьому імені, завдяки чому перша машина не змогла спілкуватися з доменом.

Щоб зберегти першу машину в домені, вам потрібно буде видалити другу машину з домену, а потім перечитати першу машину назад до домену. Потім додайте другу машину до домену під другим іменем.

Щоб зберегти другу машину в домені, візьміть першу машину з домену, перейменуйте її та додайте її назад до домену під новим іменем.

Назва машини однакова, але SID змінюється, коли ви додаєте новий комп'ютер з тим же ім'ям, що і старий. SID - це те, до чого пов'язане все в AD, не те саме. Це ефективно "вибиває" стару машину з AD, оскільки відповідний SID більше не існує.

Ви правильно систематизуєте машини, щоб отримати інший SID? Я думаю, що ваша проблема не стільки ім'я хоста, скільки може бути пов'язана з SID. Так чи інакше, ви не повинні мати одну і ту ж машину в AD кілька разів, але я вважаю, що AD насправді дозволяє це зробити.

Я думаю, що суть вашої проблеми може бути пов'язана з SID.

Пара думок-

NewSID насправді зовсім не сприятливий спосіб зробити це. Ви повинні використовувати Sysprep на будь-якому пристрої Windows 2000 або новішої версії.

AD накладе перевірку унікальності імені комп'ютера щодо атрибута sAMAccountName, який матиме ім'я комп'ютера (з подальшим знаком $).

Оскільки AD є розподіленою системою, цілком можливо, що два комп'ютери могли бути створені з тим самим іменем на двох контролерах домену між циклами реплікації. Якщо припустити, що вони створені в одному контейнері, AD перетворить його в конфліктний об'єкт.