locked
Ghost 回來後的Windows XP 無法登入網域。 RRS feed

  • 一般討論

  • 各位老師好,

     

     想請問一個問題。

     

     我們有位同仁將去年12月做的Windows XP with SP2 的 Ghost Image 復原回去PC後,發生無法登入網域的問題,PC是同一台,這台PC是在去年12月成功加入網域並用網域帳號登入後才做成Ghost Image。

     

     是因為時間的問題嗎?想請問有什麼方法可以解決這個問題?

     

    P.S.

    我現在的做法是到AD的Computers 容器上去刪除這台電腦名稱,再請同仁將PC退出網域,再自行加入網域,可是這樣又會遇到加入網域次數的限制。

     

    謝謝幫忙。

     

     

    2008年3月24日 上午 07:53

所有回覆

  •  

    執行sysprep試試看
    2008年3月24日 上午 07:59
  • Solution

    =======

    Please run the sysprep.exe utility before creating the disk image. It is the supported method.

     

    Jimmy

    2008年3月24日 下午 11:59
  • 是時間的問題沒錯..

    基本上在電腦加入網域之後,此台電腦預設會每30天與網域主機變更一次密碼..

    你是去年12月備份的,所以會無法登入,建議您不要直接刪除此電腦名稱

     

    我知道除了執行Sysprep外,另一個方法就是..

    1.到AD 使用者及電腦

    -.Computers

    -.選擇該電腦名稱 -->右鍵-->重設帳戶


    2.將PC退出網域,再自行加入網域

     

     

    2008年3月25日 上午 01:08
  • 謝謝Rich, ChinHua 及James 幫忙回答。

     

    想要請問一下,是否有方法可以解除30天的限制?

     

    另外,因為我老闆固定會2~3個月出差在外,這段時間,他的PC都沒有開機,那他的PC是不是也會受到上述

    30天的影響?

     

    謝謝幫忙。

    2008年3月26日 上午 03:14
  • 這問題跟密碼,時間無關。

     

    而是因為GHOST會把所有東西還原到製作映像檔的那個時間點,

    但是已經加入Domin 的電腦,會有一些認證程序,如今你把他還原到之前的版本,就無法在經過網域的認證。

     

    所以不管你電腦多久都沒有開,只要開機,頂多可能是因為密碼原則會被要求修改密碼,或是鎖定帳戶,但是不會被要求重新加入網域。

     

    但是用GHOST就不一樣了,

    你現在開機,和DOMIN認證了一些物件(版本1.0.1),並做Ghost ,

    但是兩天後,物件因為異動,版本更新到了(1.0.2),你如果又用GHOST把她還原回(1.0.1)

    這樣你的電腦就無法登入網域了,因為物件的版本已經不一樣了。

     

    PC頂多只是把電腦退出網域,再重新加入即可。

     

    但是如果是DC.....兩台以上,對其中一台做GHOST還原.......更會引發難以收拾的情況。

     

    密碼的30天限制,可以透過網域群組原則/網域住控站安全性原則來異動

     

    2008年3月26日 上午 10:31
  • 感謝Will 幫忙回答。

     

    我在Windows Server 討論區找到一些資料:

      http://forums.microsoft.com/technet-cht/ShowPost.aspx?PostID=2739674&SiteID=23

       電腦物件每 60 天會自動向 DC 做一次密碼的變更; 如果超過 60 天沒有變更密碼, 該電腦物件可視為不存在的電腦   

       (stale object). 如果超過 60 天沒有變更密碼, 但仍然可以 ping 得到, 那麼可能有幾個問題:....

     

    我現在有點混淆,我有幾個問題想要請教大家一下,

     

    (1)當我們將WinXP 加入網域時,系統會要求我們輸入一個"網域使用者帳號與密碼",當我們成功加入網域後,DC會賦予這個電腦物件一個密碼是嗎?這個密碼跟上述用來加入網域的"網域使用者帳號與密碼"有關係嗎?

     

    (2)所謂的"密碼的30天限制"與"電腦物件每 60 天會自動向 DC 做一次密碼的變更"是不同的 2 件事嗎?

     

    (3)Domain 會跟電腦物件做認證,這個認證是每次電腦重新開機後就會做一次嗎?如果是這樣,是不是可以這樣說,不管你在哪一天做了Ghost Image,只要做完Ghost Image 後,你又有重新開機登入網域,那這份Ghost Image 就無效了,亦即當您從Ghost Image Restore 回去時,將無法正常登入網域?

     

    謝謝幫忙。

     

     

      

    2008年3月28日 上午 10:11
  • 你的問題我以前曾經碰過

    後來跟部門工程師討論後一致決定

    只要電腦名稱命好、作業系統及驅動程式裝好,就直接先作Ghost檔,

    就是為了避免發生類似狀況。

     

    如果不幸要還原該電腦,同樣的電腦名稱再重新加入一次網域,目前也沒有發生異常狀況。

    2008年3月29日 上午 06:02
    版主
  • 謝謝 AskaSu 幫忙回覆。

     

    想請問一下,您們要將相同的電腦名稱加入網域時,是不是先要將已經存在AD\Computers 內的

    電腦名稱刪除?

     

    2008年3月31日 上午 03:15
  •  

    當Windows XP 加入Domin 以後,Domin會建立相關的對應物件,

     

    30天的密碼限制,這原發文者指的應該是USER的帳號密碼,這部分可以在群組原則來定義。

    60天應該指的是超過60天未回應的電腦物件,會被DC標記為stale object。

    者兩者無關連。

     

    存放使用者密碼的物件應該是"使用者"

    加入AD後,AD會產生期"電腦"物件,這些有其對應的資料

    當你將電腦加入AD時會要求帳號密碼資料,是因為AD要建立這台新電腦對應的"物件",每個帳號有10次的機會,超過10次,你就得賦予帳號相關的權限,才能再用該帳號幫其他電腦加入網域。

     

    AD的認證是每一次電腦開機都會做,但是這些物件的版本,並不會不斷的在變更,通常是AD資料有所異動或是一些抄寫,才會去更動這些物件的資料。

     

    例如

    AD你對他套入新的群組原則,他會對一些特定物件更新版本,此時版本+1,

    你的電腦上線後,驗證,發現AD的物件已經更新,因此會同步修正PC的物件資料,並也告訴AD 現在PC的用戶更新到+1的版本。一段時間下來,AD可能更新到+10的版本,PC也更新到+10的版本,但是PC忽然用GHOST還原到+1,

    這時候PC開機去跟AD確認,對AD而言PC應該是+10 而不是+1,因此認證失敗。

    (以上只是大約描述一下運作,實際的運作原理建議您到Server 版詢問)

     

    至於再久都不開機的電腦,不管AD物件翻了幾個版本,PC都沒有更新,哪天PC上線時這些物件的版本才會去修正,這是沒有問題的。

    也不會影響PC與AD間的認證。

     

    但是用GHOST會把已經更新的版本給往前推移....這樣AD認證就會錯誤。

    2008年3月31日 上午 06:49
  • 你說的這個步驟,我們都沒有做過,就把電腦加回網域了..

    2008年3月31日 上午 06:50
    版主
  •  Blake Huang 寫信:

    謝謝 AskaSu 幫忙回覆。

     

    想請問一下,您們要將相同的電腦名稱加入網域時,是不是先要將已經存在AD\Computers 內的

    電腦名稱刪除?

     

     

     

    如果是GHOST導致的話,退出網域在加入網域即可。

    但是如果是全新安裝一台PC(重新安裝Windows),同樣的機器名稱,這樣我"印象中"會因為SID有相異,系統會跟你說AD已有同樣的電腦名稱存在。

    2008年3月31日 上午 06:55
  • 我再補充說明一下,我在公司的作法如下:

    比如把電腦A灌好OS,基本Drivers及所有Microsoft Updates都上完後(未加入網域)

    就會在磁碟的最後一槽,建立一個Ghost目錄夾,再建一個以「電腦A的電腦名稱」為名的子目錄

    (避免維修時硬碟換到不同硬體的電腦B時,將電腦A的Ghost檔還原到電腦B上)

    然後把系統碟Ghost起來放在該目錄,之後再加入網域並作其他軟體的安裝。

    基本上我們公司的每一台電腦,都有一個屬於自己的Ghost檔(未加入網域)

     

    剛好有一台電腦有點異常明天需要還原測試,我再檢查看看還原後加入網域是否有異常狀況。

    2008年3月31日 下午 02:44
    版主
  • 回報測試狀況:

    1.一台已加入網域的電腦A,因硬碟不明原因讀取緩慢,所以我找了新的硬碟,

      並將原來的「未加入網域」的系統Ghost檔,整個倒回新硬碟的C槽位置。

     

    2.開機後,電腦名稱不變,SID不變,重新加入網域,無任何錯誤訊息即加入成功。

     

    3.電腦重開後,本機端僅有一筆DnsApi Event 11163的警告,而AD上無任何關於這部電腦的錯誤,網域帳號也可正常驗證進入電腦。

     

    4.關於DnsApi的事件錯誤,我判斷是DNS的紀錄錯誤,經過設定後也排除此警告訊息的出現。

    我的處理方式如下:

    比如電腦A原本IP為172.16.100.1,但因維修關係,搬回到我們部門172.16.200.0/24的位置。我判斷由於重加入網域後,DNS紀錄跟維修時取得的IP不同,導致產生此訊息,所以我就直接到DNS Server把原本的A紀錄(電腦A對應到172.16.100.1的IP)直接砍掉,之後就沒有再出現此警告了。

     

    如果有誤也請先進們指正了~謝謝

    2008年4月1日 上午 02:41
    版主
  • 謝謝Will 及 AsKaSu 幫忙回答。

     

    我也自己做過實驗,如同AsKaSu所說,將原來的「未加入網域」的系統Ghost檔,整個倒回新硬碟的C槽位置,開機後,電腦名稱不變,重新加入網域,無任何錯誤訊息即加入成功。

     

    另外,我將之前「已加入網域」的系統Ghost檔,整個倒回新硬碟的C槽位置,開機後,從事件檢視器可以看到下面的錯誤訊息:

     

     (1)本機系統 自動憑證註冊無法連絡目錄伺服器 (0x8007052b)。無法更新密碼。您提供的目前密碼值錯誤。
      將不會執行註冊。

      請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。

     (2)這台電腦無法通過 \\afsr1.afdomain.com.tw (網域 AFDOMAIN 的 Windows 網域 控制站) 的驗證 ,所以
      這台電腦的登入要求可能會被拒絕。 無法驗證的原因可能是因為網域上有 其他電腦使用相同名稱,或是
      無法識別 這台電腦帳戶的密碼。如果這個訊息重複出現, 請連絡您的系統管理員。

      請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊

     

    因此可以對應Will 上面所說的內容。

     

    由於我們會利用網域的關係執行一些作業環境或是應用軟體的設定,因此研發人員會利用Ghost 將之前已經加入網域的PC Ghost Image 復原回來,依照上面的討論,這樣做有可能會發生問題,而需要IT人員協助,想請問各位先進是否有好方法可以讓研發人員將已經加入網域的PC做Ghost Image 復原而不用再勞動IT人員協助?

     

    是不是利用 sysprep.exe 就可以將「已經加入網域的PC」做成一個Ghost Image 而讓研發人員自行來復原而不用再勞動IT人員協助?

     

    謝謝大家。

    2008年4月6日 上午 05:09
  • 已經加入網域的ghost檔是可以正常移轉到別顆硬碟的

    我的操作步驟是先ghost還原-->登入後用vnc連線到dc將該台電腦的名稱刪除-->關閉網路卡-->退出網域-->重新開機-->登入後啟動網卡-->加入網域

    因為profile使用的sid是相同的所以所有的設定不會有問題

     

    2010年3月31日 上午 08:30
  • c 兄.

    小弟以往做ghost 的時候.

    會轉sid..之後重新join domain.

    同時..會在ad server delete 已經存在的computer account.

     

    這樣會安全一些^^ 

    2010年5月4日 上午 06:41
  • 請問這個問題目前有解決方式嗎?

    我目前遇到的問題是 : 電腦教室的電腦有裝還原系統,每次重新開機就會還原

    AD使用一段時間後就會自動退出登入

    應該如同大大您說的,AD的物件已經更新,但PC端由於每次還原,所以還停留在+1,所以認證失敗

    請問有無可解決的方式~~

    2012年5月7日 上午 09:42