Если размножать виртуальные машины в домене с помощью клонирования, то возможна ситуация, когда в вашей сети будут находиться два, три или более серверов с одинаковым SID. Если развёртывать операционную систему с помощью готового образа без специальной процедуры Sysprep, то тоже возможна такая ситуация. Восстановление дубля сервера из резервной копии — ещё один вариант напортачить.
SID (Security Identifier, идентификатор безопасности) — это уникальный неизменяемый идентификатор каждого объекта в системе Windows, которому выдаются права доступа.
Избегайте ситуаций, которые могут привести к дублированию SID в вашем домене. Это не очень критично, но с августа 2025 года Microsoft выпустила обновления безопасности, которые строго блокируют аутентификацию между компьютерами с одинаковыми SID в домене.
Если у вас всё-таки существуют в домене два или более компьютера с одинаковыми SID, то могут проявиться проблемы:
- Ошибки аутентификации Kerberos и NTLM.
- Невозможность подключиться к удаленному рабочему столу (RDP).
- Проблемы с сетевым доступом к ресурсам.
Как решить проблему?
Допустим, у вас два компьютера с одинаковым SID. Выберите один из них. Извлеките компьютер из домена. Перезагрузите компьютер.
Запустите Sysprep:
C:\Windows\System32\Sysprep\sysprep.exe /generalize /shutdown /oobeПри этом:
- Удалится текущий SID
- Имя компьютера сбросится на временное
- Слетит активация
- Удалятся уникальные идентификаторы драйверов
- Очистятся журналы событий
- Очистятся кэши
- Удалятся уникальные ключи в реестре (например, CMID — Computer Hardware ID)
- Компьютер выключится
- После включения запустится мастер первоначальной настройки и сгенерируется новый SID
После выключения снова введите компьютер в домен, активируйте.
Нельзя запускать sysprep более 3 раз на одной Windows, это встроенное ограничение.
Как найти компьютеры с одинаковыми SID в домене?
Погнали:
Get-ADComputer -Filter * -Properties objectSid | Select Name, @{N='SID';E={$_.objectSid.Value}} | Group SID | Where Count -gt 1 | Select @{N='SID';E={$_.Name}}, Count, @{N='Computers';E={$_.Group.Name -join ', '}}Для выполнения скрипта требуются права администратора домена.
