Active Directory vous permettra-t-il d'ajouter deux ordinateurs du même nom?

13

J'espère que quelqu'un pourra confirmer mes observations parce que je remets en question ma mémoire ...

Le titre en dit long. Tout en travaillant rapidement sur le déploiement d'un certain nombre de systèmes similaires, il est apparu que nous pouvions créer des systèmes avec le même nom et Active Directory nous a permis de les ajouter au domaine.

Le problème était qu'une des machines ne "voyait" plus le domaine, disant qu'elle ne pouvait plus le voir.

J'ai supprimé une machine du domaine, puis l'ai rajoutée avec une variation du nom; suis-je en train de me souvenir de quelque chose, ou est-il possible d'ajouter deux machines à AD et de supprimer efficacement l'autre machine du domaine? Ai-je tort de penser que c'est quelque chose que la MA ne devrait pas autoriser en premier lieu? Je pensais que cela donnerait un avertissement, comme AD le fait lorsque vous essayez d'ajouter un nom d'utilisateur qui existe déjà avec la structure AD.

active-directory hostname Bart Silverstrim
la source
Je voudrais ajouter qu'il est possible d'ajouter plusieurs ordinateurs avec le même nom dans la même forêt (différents domaines). Microsoft vous recommande toutefois de ne pas le faire.

Réponses:

14

Non, les noms d'ordinateur doivent être uniques. Lorsque vous avez ajouté le deuxième ordinateur avec le même nom, Windows a changé le sid dans la base de données AD qui va avec ce nom, rendant la première machine incapable de parler au domaine.

Pour conserver la première machine sur le domaine, vous devez supprimer la deuxième machine du domaine, puis relire la première machine sur le domaine. Ajoutez ensuite la deuxième machine au domaine sous un deuxième nom.

Pour conserver la deuxième machine sur le domaine, prenez la première machine du domaine, renommez-la et ajoutez-la au domaine sous le nouveau nom.

mrdenny
la source
me battre de 8 secondes :)
MDMarra
Les noms doivent être uniques pour que cela fonctionne correctement, je sais que ... eh bien, vous l'avez confirmé. Mais je me demandais pourquoi cela me permettait de faire cela. En fait, je me suis d'abord demandé si ce qui s'était passé était vraiment ce que je pensais être arrivé, car le comportement est différent lorsque, par exemple, l'ajout d'un autre utilisateur du même nom (erreur!)
Bart Silverstrim
1
Eh bien, il est courant de pré-créer des comptes d'ordinateurs dans les unités d'organisation avant qu'ils ne soient réellement joints à AD. Pour que ces ordinateurs entrent dans l'unité d'organisation appropriée lorsqu'ils sont joints, ils doivent pouvoir rejoindre AD à la place d'un compte qui existe déjà.
MDMarra
@MarkM: Merci pour l'avertissement ... je n'avais pas rencontré ça! Nous créons normalement les machines en joignant puis en déplaçant les objets résultants. Vous pouvez donc créer les noms de machine, et rejoindre la machine crée et associe automatiquement des noms au SIDS?
Bart Silverstrim
C'est fondamentalement vrai. De cette façon, vous n'avez pas à vous soucier de l'application correcte des GPO et vous n'avez pas à vous rappeler de déplacer les choses.
MDMarra
3

Le nom de l'ordinateur est le même, mais le SID change lorsque vous ajoutez un nouvel ordinateur portant le même nom que l'ancien. Le SID est ce à quoi tout dans AD est lié, pas le même. Cela «élimine» effectivement l'ancienne machine d'AD, car le SID correspondant n'existe plus.

MDMarra
la source
Apparemment, mes doigts ont volé légèrement plus vite que les vôtres.
mrdenny
0

Préparez-vous correctement les machines afin d'obtenir un SID différent? Je pense que votre problème n'est pas autant le nom d'hôte qu'il peut être lié au SID. Quoi qu'il en soit, vous ne devriez pas avoir plusieurs fois la même machine dans AD, mais je crois que AD permet réellement que cela se produise.

Je pense que le nœud de votre problème peut être lié au SID.


la source
Oui, ils sont SIDdés à un ID différent (NewSID utilisé).
Bart Silverstrim
Note ... oui, je le savais, je ne voulais pas les ajouter plusieurs fois! C'était un accident dans les noms alors que nous essayions d'ajouter des lots de systèmes en succession rapide ...
Bart Silverstrim
0

Pensées de couple-

NewSID n'est vraiment pas un moyen supportable de le faire. Vous devez utiliser Sysprep sur n'importe quel appareil Windows 2000 ou supérieur.

AD appliquera la vérification de l'unicité du nom d'ordinateur en ce qui concerne l'attribut sAMAccountName qui aura le nom de l'ordinateur (suivi d'un signe $).

Étant donné qu'AD est un système distribué, il est tout à fait possible que deux ordinateurs puissent être créés avec le même nom sur deux contrôleurs de domaine entre les cycles de réplication. En supposant qu'ils soient créés dans le même conteneur, AD en transformerait un en objet de conflit.

Brian Desmond
la source