Проблема входа в домен после восстановления системы из образа

Question

[Андрей Поляков]

Приветствую!

Есть комп, операционка (WinXp) на котором периодически восстанавливается из образа. После этого комп в домен войти не может, приходится его оттуда удалять и вводить по-новому.

Админ конторы с проблемой разобраться не может, к контроллеру домена никого не подпускает. Проблему объясняет тем, что после восстановления образа у компа оказываются какие-то старые ключи, которые контроллер домена считает неправильными.

Сам я программист, а не админ, но проблему решить надо.

Подскажите куда копать?

Comments

[Андрей Поляков]

Нагуглил вот такую интерсную тему:
blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx

Вот только ключ:
HKLM\SECURITY
на целевой машине пустой :(

Answer 1

[merlin-vrn]

Ваш админ правильно объясняет причину. Это не баг, это фича — задокументировано майкрософтом и вполне логичное поведение. Комп в вашей сиутации должен вылетать из домена.

Дело в том, что каждый комп имеет в домене учётную запись, которая содержит в том числе общий секрет с контроллером домена, т.е. пароль. Этот пароль устанавливается при присоединении к домену, время от времени (если память не врёт, раз в две недели) автоматически меняется компом на новый (случайный).

После первой же смены пароля компом, то, что в образе и то, что в AD будет различаться. Домен комп из образа «не узнает».

Правильный ответ: да, после разворачивания из образа комп из домена необходимо удалять и добавлять снова.

Comments

[Андрей Поляков]

Ок.
А можно этот ключик как-нибудь забекапить, а после восстановления образа — восстановить?

[Андрей Поляков]

И ещё вопрос.
Вот здесь всё правильно описано?
windowsitpro.com/windows/q-can-password-windows-machine-s-domain-account-expire-just-normal-user-account-s-password-e

Т.е. фактически я могу отключить смену компом своего доменного пароля?

[merlin-vrn]

Наверное, можно. Попробуйте.

Сам никогда не пробовал отключать, и вообще считаю, что вносить такие изменения в стабильно работающую уже больше десяти лет схему (AD появился в Windows 2000) — это глупость ;)

Answer 2

[Dolios]

Погуглите sysprep

Comments

[merlin-vrn]

Это чуток из другой оперы. Вы как раз наоборот сиспрепом вынесете комп из домена. А magnitudo хочет, чтобы даже при разворачивании из образа не вылетал.

[Dolios]

Ну так, прежде чем образ делать, нужно выводить комп из домена.

[merlin-vrn]

Повторю, хочется наоборот: чтобы в домене был.

[Dolios]

Ну так после разворачивания образа админ машину без проблем введет в домен. Контроллер домена ругаться не будет. Сорри, но или я вас не понимаю или вы сами не понимаете, чего хотите.

[Андрей Поляков]

merlin_rtrem прав, машина после восстановления образа должна быть уже в домене, это нужно, чтобы избежать необходимости привлекать админа после восстановления образа.

[Dolios]

Вы же понимаете, что в общем случае это невозможно. Даже если вы как-то закопаете в образе корректный SID, что произойдет после того, как я разверну этот образ на двух машинах? Поэтому, смотреть стоит в сторону автоматизации дорбавления машины (поднятой с образа с почищеным sysprep-ом SID-ом) в домен после восстановления образа, о чем написано в комментарии ниже.

[Андрей Поляков]

Мне нужно ОДИН образ, разворачивать на ОДНУ машину — не нужно из этого образа разные машины поднимать.

Answer 3

[Николай Турнавиотов]

Вариант решения проблемы, он же является наверное самым правильным с точки зрения разделения рабочего окружения и разработки, тестовых сборок, деплоймента и т.п
1. Рабочая станция в домене имеет только софт рабочей станции — ОС, офис, броузер, скайп, почтовый клиент, интеграцию с доменом, средства разработки: Есть вторая рабочая машина/виртуалка, на которой идет разработка, тестирование, установка, снос софта, восстановление из образа.

2. Пользователю домена разрешено добавлять рабочую станцию в домен на уровне групповых политик, по моему — поведение по умолчанию, но могу и ошибаться.

3.Чистая свежая машина со всем необходимым софтом и обновлениями, подготовлена sysprep'ом, из неё сделан образ. После развёртывания из образа машина вводится в домен, возможно автоматически.

Answer 4

[lmaxximl]

Все просто при вводе компьютера в домен Windows ему присваивается SID который по политикам домена меняется каждые 23 — 24 дня, соответственно клиент восстановленный из образа имеет другой SID который уже не знает КД и компьютер приходиться по новой регистрировать в домене. встречался с этой проблемой в образовательной сети где на компьютерах стоял ShadowUser который при загрузке восстанавливал первоначальное состояние компьютера, а домен менял SID через 24 дня и приходилось перерегистрировать компы на которых стоял ShadowUser. Политика безопасности домена. Почитайте тут может полезно будет.