SID doppelt vorhanden

[konblu 10]

Hallo,

 

habe mit psgetsid (sysinternals) die SID der rechner ausgelesen,

dabei ist mir aufgefallen, dass beide domänencontroller

(w2k sp4 mit AD) dieselbe SID eingetragen haben.

 

Ich dachte immer, jeder Rechner/User hat eine eindeutige SID

 

Wenn jeder Rechner eine eindeutige SID haben muss, warum gibt

es dann keine Probleme im Netzwerk?

 

Darf ich die SID des zweiten Domänencontroller zb mit newsid ändern?

[lefg 276]

Das mit den DCs hat mich auch mal erstaunt.

Es ist aber so, die Domäne hat eine eindeutige SID, nicht der einzelne DC. Und jedes Mitglied der Domäne (Client/Host) soll eine eindeutige SID haben.

 

Zu Schwierigkeiten im Netzwerk: Ich habe schon Netze vorgefunden aus geklonten Clients mit identischer SID. Das Netzwerk funktionierte Aus von identischen SISs resultierenden Problemen war nichts zu erkennen.

[Gulp 269]

 

... snip ....

 

Zu Schwierigkeiten im Netzwerk: Ich habe schon Netze vorgefunden aus geklonten Clients mit identischer SID. Das Netzwerk funktionierte Aus von identischen SISs resultierenden Problemen war nichts zu erkennen.

 

Ging mir auch schon so und das lief auch so cirka 1 Jahr problemlos. Dann gings aber los mit Problemen, Rechner konnten nicht mehr in die Domäne, Anmeldeprobleme, Synchronisationsprobleme mit Profilen, Zugriffsprobleme auf Freigaben und und und ...

 

Das Ganze war eine NT 4 Domäne mit NT 4 Clients und wurde ständig mit Rechnern erweitert. Komischerweise waren diese Phänomene weg, als ich dann mit NewSID alle Kisten mit neuen SID's versorgt hatte.

 

Bei W2K/W2K3 kriegen durch die Verwendung des ADS aber auch mehr Objekte SID's, als bei NT (weils auch mehr Objekte gibt), daher spielt die SID auch eine wichtigere Rolle.

 

Trotzdem fallen die Probleme oft 'nur' in speziellen Fällen und Konstellationen auf.

 

Grüsse

 

Gulp

[konblu 10]

Danke erst mal für die Antworten.

 

Ganz hab ich das aber nicht verstanden:

 

haben alle Domänencontroller dieselbe (identische) SID?

 

darf oder soll man die SID eines DC umbenennen?

[lefg 276]

Trotzdem fallen die Probleme oft 'nur' in speziellen Fällen und Konstellationen auf.p

In einer Erklärung war die Rede davon, es könne zu Sicherheitsproblemen kommen, unberechtigte Zugriffsmöglichkeiten.

Nachdem ich die Sache damals gespannt hatte, habe ich mit NewSID die SIDs der Clients automtisch listen lassen. Dafür habe ich die Rechner in eine OU geschoben, die GetSID ausführte. Damit verschaffte ich mir einen Überblick. Dann liess ich automatisch NewSID ablaufen.

[lefg 276]

dieselbe (identische) SID?

Alle DCs einer Domäne habe die gleiche SID.

 

darf oder soll man die SID eines DC umbenennen?

Nein, das darfst Du nicht. Das wäre das eine andere Domäne, auch bei gleichen Domänennamen.

 

Warum willst Du daran rumdrehen? Hast Du Probleme?

[konblu 10]

ich wollte nur sicherstellen, dass die einstellungen richtig sind,

da ich der meinung war, dass jeder DC eine eigen SID benötigt.

Ist dann soweit alles ok

 

Danke für die Hilfe

[lefg 276]

Gern geschehen. :)

[blub 115]

Alle DCs einer Domäne habe die gleiche SID.

Kaum vorstellbar! Dann könnten Domaincontrollerkonten in keiner Gruppe Mitglied sein oder irgendwo berechtigt werden.

 

cu

blub

[günterf 45]

Hi!

 

Da kann ich blub nur recht geben!

 

Schaut einmal hier:

 

http://support.microsoft.com/default.aspx?scid=kb;de;315062

[lefg 276]

Wo steckt denn der (mein) Irrtum?

Ich habe die SIDs der DCs aller von mir erreichbaren Domänen mit psgetsid ausgelesen.

Es handelt sich nicht Clones(Käme mir nicht in den Sinn).

 

Das von Günter genannte Paper ist natürlich interessant. Es sagt aber (meiner Ansicht nach) nichts zum Problem aus (leider).

[varnik 10]

Es kann sein, dass die DC's die SID der Domäne tragen und das psgetsid genau diese liefert nicht die SID's von DC's. Probire's mit ntdsutil.exe

[lefg 276]

Das werde ich machen. :)

[lefg 276]

Ich glaube, mir geht es heute nicht besonders. Ich kann die ntdsutil.exe nicht finden. Weder auf der CD, noch in den installierten Support Tools, noch im Web.

 

Woran liegt das? An mir?

 

Gefunden in WINNT\ServicePackFiles\i386

[lefg 276]

Ich habe das nun mal nach dem beschriebenen Verfahren durchgeführt.

Geben Sie an der Ntdsutil-Eingabeaufforderung security account management ein und drücken Sie anschließend die Eingabetaste.

Geben Sie an der Security Account Management-Eingabeaufforderung connect to server DNS-Name des Servers ein und drücken Sie anschließend die Eingabetaste. Stellen Sie die Verbindung zu dem Server her, auf dem Ihre SAM-Datenbank gespeichert ist.

Geben Sie an der Security Account Maintenance-Eingabeaufforderung check duplicate sid ein und drücken Sie anschließend die Eingabetaste. Es erscheint eine Anzeige mit doppelten SIDs.

Die Datei dupsid.log bleibet leer.