Es gibt Dogmen in der IT, die werden nicht hinterfragt. Ein solches Dogma ist: “Keine zwei Computer in Windows Domänen dürfen den gleichen Security Identifier SID besitzen”. Aus diesem Grund wurden System Images bei der Verteilung mit Windows-Sysprep, oder Tools wie NewSID behandelt.
Erste Zweifel
Kürzlich beschäftigte ich mich mit Linked-Clones unter VMware View. Dabei stiess ich auf ein alternatives Verfahren zur Vorbereitung von VMs, das mein Interesse weckte. VMware View bietet neben sysprep auch ein Verfahren namens “Quickprep” an.
Differences between QuickPrep and Sysprep
Funktion |
Quickprep |
Sysprep |
Removing local accounts |
No |
Yes |
Changing Security Identifiers (SID) |
No |
Yes |
Removing parent from domain |
No |
Yes |
Changing computer name |
Yes |
Yes |
Joining the new instance to the domain |
Yes |
Yes |
Generating new SID |
No |
Yes |
Language, regional settings, date, and time customization |
No |
Yes |
Number of reboots |
0 |
1 (seal & mini-setup) |
Requires configuration file and Sysprep |
No |
Yes |
Quelle: VMware KB 2003797
Kein neuer SID?
Wie kann das gehen? JEDER weiss doch, daß bei der Ableitung ein neuer SID generiert werden muss! Oder etwa nicht?
Bei der Suche nach der Wahrheit fand ich einen Blogartikel von Mark Russinovich, der sich mit dieser Frage beschäftigte. Mark Russinovich ist nicht irgendein Nobody, sondern der Entwickler des oben erwähnten Tools NewSID (damals noch Sysinternals, inzwischen Microsoft). Er räumt auf mit einem Mythos, der seit vielen Jahren in der IT Szene kursiert. In seinem Artikel kommt er zu dem Schluss, daß duplizierte SID innerhalb einer Domäne keinerlei Probleme verursachen – mit einer Ausnahme: Domänencontroller.
As I said earlier, there’s one exception to rule, and that’s DCs themselves. Every Domain has a unique Domain SID that’s the machine SID of the system that became the Domain’s first DC, and all machine SIDs for the Domain’s DCs match the Domain SID. So in some sense, that’s a case where machine SIDs do get referenced by other computers. That means that Domain member computers cannot have the same machine SID as that of the DCs and therefore Domain. However, like member computers, each DC also has a computer account in the Domain, and that’s the identity they have when they authenticate to remote systems.
Ein sehr lesenswerter Artikel. Aber ich bin sicher der Mythos wird uns noch sehr lange begleiten. 😉