J'avais besoin de configurer 2 vms et naïvement d'en installer une à partir de zéro, de m'assurer qu'elle fonctionnait correctement, puis de la copier sur un autre hôte. Le message "la relation d'approbation entre ce poste de travail et le domaine principal a échoué" est apparemment dû au fait que le SID est le même sur les deux machines. J'ai regardé autour de moi et j'ai vu beaucoup d'informations contradictoires sur sysprep et comment résoudre à ce stade.
Puis-je simplement mettre à jour SID la machine ayant des problèmes de domaine et tout ira bien? Si oui, comment puis-je y parvenir? Je vous remercie
La seule méthode prise en charge par Microsoft pour modifier le SID de l'ordinateur consiste à exécuter sysprep avec l'option/generalize
edit: Alors .. clarifiant. Cela revient à l'idée que le SID de l'ordinateur n'a pas vraiment d'importance (sauf pour les contrôleurs de domaine) car c'est vraiment le SID du compte d'ordinateur dans le domaine qui compte et non le SID de l'ordinateur/machine lui-même. Supprimer/supprimer/rejoindre l'ordinateur créera un SID de compte d'ordinateur unique dans le domaine et résoudra vraiment son problème. Mais cela ne créerait pas, au sens technique, un nouveau SID pour l'ordinateur lui-même.
Mark Russinovich discuté le "mythe" SID de la machine unique et il y a un suivi article par un autre auteur qui va dans les détails. Enfin, il y a this MSDN post qui, je trouve, illustre assez clairement le compte d'ordinateur SID de l'ordinateur vs domaine.
Personnellement, j'ai rencontré le problème de SID en double où un système cloné a été utilisé pour créer le contrôleur de domaine pour un nouveau domaine au début d'un projet de migration de domaine et les serveurs du domaine source n'ont pas pu authentifier les utilisateurs sur le nouveau domaine cible ou rejoindre le domaine cible en raison de la duplication SID. Donc, 99% du temps, ça n'a pas d'importance .. mais quand ça compte, ça craint. Par conséquent, je recommande toujours aux utilisateurs de générer de nouveaux SID de machine lorsqu'ils le peuvent.
"Puis-je simplement mettre à jour SID la machine ayant des problèmes de domaine et tout ira bien? Si oui, comment puis-je y parvenir?"
Oui, vous pouvez. Dans Active Directory, vous devrez supprimer l'objet ordinateur de votre serveur problématique, puis le rejoindre dans le domaine. Cela vous donnera un nouveau SID pour le serveur. Cependant, cela crée un nouvel objet ordinateur pour votre serveur, donc toutes les appartenances à son groupe, ses autorisations, etc. devront être recréées car il a un nouveau SID. Active Directory ne le voit pas comme le même serveur.
EDIT J'ai suivi mes propres instructions et j'ai constaté que mon serveur avait reçu un nouveau SID. Ma forêt est au niveau de Windows Server 2012.
Avant de supprimer mon serveur d'AD et de le supprimer du domaine
Le SID après avoir rejoint le domaine.
J'ai dû redémarrer deux fois après avoir rejoint le domaine. Donc, pour moi, l'ordinateur reçoit un nouveau SID d'Active Directory après
Si l'instance n'est pas occupée, ou s'il s'agit d'une nouvelle installation, exécutez C:\Windows\system32> Sysprep\sysprep.exe et vérifiez généraliser
Découvrez le successeur spirituel de NewSID, SIDCHG :
Utilitaire de ligne de commande pour modifier le SID de l'ordinateur local et le nom de l'ordinateur, pour Windows 2016/10/8.1/2012 R2/8/2012/7/2008 R2/2008/Vista/2003/XP. Il remplace le SID actuel de l'ordinateur par un nouveau SID aléatoire. En outre, il modifie l'ID WSUS pour les mises à jour Windows, le MachineGuid, l'identifiant de périphérique pour les applications Windows modernes, le MSDTC CID, le Dhcpv6 DUID et l'état de cryptage pour conserver les fichiers cryptés, les paramètres du Centre d'action Windows, les certificats et autres stockages cryptés information.