最近在搭建AD的測試環境,因爲硬件不夠,所以採用了vmware vshpere的虛擬機,windows2008 server r2,爲了方便使用了模板發佈3臺虛擬機,一臺DC,兩臺客戶機,AD搭起來以後客戶機加入AD域,然後發現在win7中無法用域管理員帳號登陸客戶機,xp系統正常。
檢查後發現客戶機有報錯信息:
客戶機的SID和AD相同了。因爲使用同一個模板發佈了多臺機器,導致了所有客戶機sid相同,在active directory中每臺計算機都有一個唯一的id,即security id(sid),這個ID必須是唯一,否則可能會出現很多莫名奇妙的問題。win7的安全機制檢測到這個問題,所以無法登陸,xp的安全機制比較out,沒有檢測到這個明顯的漏洞,所以可以正常登陸。正確的處理應該是發佈完成以後用sysprep設置新的sid,sysprep位置:%WINDIR%\system32\sysprep。
sysprep(系統準備)工具主要用於爲windows的安裝準備image,sysprep只能用於配置windows的全新安裝,不能在正在使用的系統中使用。
有關sysprep的參考:http://technet.microsoft.com/zh-cn/library/cc721940(WS.10).aspx