none
同一のAD環境で、同じSIDのサーバが2台が存在可能な理由 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    同じSIDで同一ドメイン内に構築できている現象が発生したので、質問させて頂きます。

    構築の方法は、VMware上に仮想サーバOSを構築(Windows2012)し、
    そのサーバをデプロイして、2台(サーバAとサーバB)にします。
    なお、sysprepを実行していないので、2台のサーバのSIDは同一です。
    その後、サーバAをADにし、サーバBをメンバーサーバとしてサーバAのドメインに
    参加します。(ドメイン参加できることは確認済みです)

    上記の環境だと、サーバAとサーバBは同一のドメイン空間で、
    同じSIDとして存在しています。

    なぜ、同一SIDのサーバBがドメイン参加可能なのでしょうか?
    推測では、ドメイン空間のADサーバは、SIDとは別に一意な情報で管理しているので、
    SIDの衝突によるサービス影響が発生していないと推測しておりますが、
    技術的な裏付けがとれず、困っております。

    また、現時点では特に問題は発生しておりませんが、
    WSUSからのパッチ配信など、ドメイン参加していなくても
    提供可能なサービスに影響あることを懸念しております。

    2016年6月19日 8:01
    |

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    ドメインに参加した時点やドメインコントローラーになった時点でRIDマスターから払いだされたRIDを使用、かつドメインSIDが付与され、結果として双方が異なるSIDになったのではないでしょうか。

    マシン SID の重複神話
    https://technet.microsoft.com/ja-jp/windows/mark_12.aspx

    こちらに確認法が挙げられています。
    同一の端末について連続的に実施したかどうかは要確認ですが、上記の記事ではドメイン参加前(図1)とドメイン参加後(図7)で異なっています。

    なおSysprepはSIDの更新以外にも様々なパラメータの一般化をしているらしいので、「SIDが同じでも問題ないから、Sysprep不要」という意味ではないのでご注意ください。

    2016年6月19日 8:55
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、端的にいうと「ローカルコンピュータのSID」はActive Directoryでは特別のシチュエーション以外は直接使用されることはないためです。

    クライアント、あるいはメンバーサーバの場合は、仮にローカルコンピュータのSIDが同一であったとしても、ドメインに参加し使用することは可能です。なぜならActive Directoryでは、自身で作成した「コンピュータアカウントのSID」や「ユーザアカウントのSID」を使ってアクセス許可の参照を行うため、ローカルコンピュータのSIDは事実上無関係だからです。

    ですが、ひとつだけ「ローカルコンピュータのSID」が重大な影響を与えるケースがあります。ドメインコントローラのSIDの重複です。ドメインコントローラが(ワークグループやメンバーサーバから)昇格する場合、ローカルコンピュータのSIDに「ドメインのSID」が追加されたかたちで「SIDは引き継がれます」。あるドメインコントローラにドメインコントローラを追加するような場合、元のマシンと追加するマシンの「ローカルコンピュータのSID」が同一であれば、(同じドメインに存在することになるため)ドメインコントローラ同士でSIDの重複が発生し、問題が起こります。

    おっしゃるケースでは、サーバAをドメインコントローラとして構成し、サーバBをサーバAのドメインの追加ドメインコントローラとして構成すれば、ご期待の通り問題が起こることになります。

    追記:やきさんのコメントにもありますが、うえの見解であっても「sysprepを使う必要はない」という意図はありませんので、この点はご了承ください(詳しい内容は「マークのブログ」にも書いてありますので)。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2016年6月20日 2:18
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ご回答ありがとうございます。

    下記私の認識が誤っていたら、指摘してください。

    ドメイン参加後のメンバーサーバとADサーバで、psgetsidコマンドにて
    マシンのSIDとマシンのドメインSIDを確認したところ、
    ADサーバの両SIDとメンバーサーバマシンのドメインSIDが同一でした。

    同一ドメイン環境で、マシンのドメインSIDが重複しているので、
    正常でないという解釈なのですが、間違っておりますでしょうか。

    ■ADサーバで確認した結果
    ○マシンのSID確認
    C:\temp\PSTools>psgetsid

    SID for \\<ADサーバ名>:
    S-1-5-21-3497617002-3981381465-2270425890    ←同一のSID

    ○マシンのドメインSID確認
    C:\temp\PSTools>psgetsid <ADサーバ名>$

    SID for VMWARE\<ADサーバ名>$:
    S-1-5-21-3497617002-3981381465-2270425890-1001   ←同一のSID

    ■メンバーサーバで確認した結果
    ○マシンのSID確認
    C:\temp\PSTools>psgetsid

    SID for \\<メンバーサーバ名>:
    S-1-5-21-766009184-3138190619-372806794     ←異なるのSID

    ○マシンのドメインSID確認
    C:\temp\PSTools>psgetsid vcvm01$

    SID for VMWARE\<メンバーサーバ名>$:
    S-1-5-21-3497617002-3981381465-2270425890-1104   ←同一のSID

    2016年6月23日 13:48
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ADサーバ同士のSIDの重複が問題となることについては理解しました。

    しかし、上記やきさんの回答についてもコメントさせて頂いております、
    ADサーバとホストサーバのドメインSIDの重複していることについては
    正常な状態ではないという解釈で宜しいでしょうか。

    2016年6月23日 13:54
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    ADサーバの両SIDとメンバーサーバマシンのドメインSIDが同一でした。

    確認ですが、ドメインSIDとは全SID(そういう表現があればですが)のうちのドメイン部分を表すSIDのことですよね?

    そうであるならば、それは正常です。なぜなら同じドメインに所属しているからです。ユーザやコンピュータが同じドメインに所属している場合、ドメインSIDの部分は当然同じになります(SIDの払い出しもとが同じだからです)。

    ですから、その点は心配する必要はありません。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2016年6月23日 14:17
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    やきです。
    ちょっと似たような用語が混在しているので、もう少し詳しくしてみます。

    psgetsid <ドメイン名>

    を実行してみてください。これが「ドメインSID」です。とりあえず、ここではそのように呼ぶとします。おそらくこれは

    「S-1-5-21-3497617002-3981381465-2270425890」

    となります。

    ちなみにこのIDは、最初のDCのマシンIDです。最初のDCのマシンSID = ドメインSIDです。
    そして、昇格するとドメインコントローラーのマシンSIDはこれと一致します。
    ちなみにご提示いただいた「メンバサーバー」のマシンSID
    「S-1-5-21-766009184-3138190619-372806794 」
    とのことなので、最初のDCのクローンではないか、sysprep済みの可能性も・・・。

    ドメインに参加したメンバの、ドメイン上でのSID(ドメインSIDに非ず)はドメインSID
    ドメイン内で識別するID(RID)を付与した形になります。
    いただいた内容では「S-1-5-21-3497617002-3981381465-2270425890-1104」 のようになります。
    ドメインコントローラ自身もこのルールに従い 「S-1-5-21-3497617002-3981381465-2270425890-1001」になってますね。

    話を戻して、昇格するとマシンSIDがドメインSIDになることから、DCに限って言えば、マシンSIDは重複します。
    クローンをドメインに参加させると、DCとメンバでマシンSIDが同じ端末が出来上がります。
    ローカルアカウントはマシンSIDをもとに作られているので、ドメインアカウントとローカルアカウントで同じSIDのものができたりしますね。
    これがどう問題になるかはまた別の話ですが、「マシン SID の重複神話」ではリムーバブルメディアのアクセス権制御で問題の可能性が示唆されています。以下の記事にリンクされてます。

    Windows インストールのディスク複製に関するマイクロソフトの方針
    https://support.microsoft.com/ja-jp/kb/314828

    なお「マシン SID の重複神話」には「ドメインのメンバー コンピューターは、DC、つまりはドメインのマシン SID と同じマシン SID を持つことができません。」との記載がありますが、これが「ドメインに参加できない」なのか「参加すると問題が起きる」「参加すると違うSIDになる」などどういうことなのかについては述べられていません。

    あまり異常を再現させて検証したという情報がないのですが、参考になりますでしょうか。


    2016年6月24日 7:05
    |