Роль SID в присоединении к доменам и аутентификации AD?
Это похоже на интернет-фоновый шум. Изворотливый или скомпрометированный узел сети является, вероятно, сканированием портов для открытых веб-серверов и затем проверением их, чтобы видеть, передадут ли они a POST на сторонний сайт. Ваш сервер естественно 404ing запрос. Это, вероятно, не предназначено для Вас, и возможности - это, остановится, довольно скоро.
Тем не менее синхронизация необычно регулярна для этого вида трафика, поэтому если это не останавливается, источник запроса 46.161.11.245. Если Вы блокируете что-нибудь, то блок, которые размещают в брандмауэре. (через iptables)
Как SID этого компьютера играет какую-либо роль в успешном присоединении к домену или входе в систему с учетными данными AD? Что происходит, когда две системы с одним и тем же SID машины пытаются это сделать? Имеет ли какое-либо отношение к этому "конфликт SID", который сказал наш администратор? Почему запуск newSID может помочь?
Это не поможет. Есть еще одна проблема, которая решается (или временно скрывается) путем повторного присоединения к домену.
Единственный случай, когда это может вызвать проблемы с доменом, - это если бы машина была клоном (без новый SID) первого контроллера домена, который использовался для создания этого домена.
SID, регенерируемый NewSID, не является SID (или, точнее, идентификатор подчиненного органа) компьютерного объекта в активном каталоге (из-за которого вы можете столкнуться с конфликтами), это идентификатор органа, который используется для локальной базы данных учетных записей пользователей.
Возвращаясь к «первому контроллеру домена» - ID авторизации SID с этого компьютера становится ID авторизации домена; другие системы, которые имеют такой же SID для своих локальных пользователей, также столкнутся с проблемами в домене. За исключением этого случая, возможного конфликта нет - особенно тот, который мог бы вызвать проблемы связи с доменом.
Другими словами - он заставил вас искать не в том месте :)
Отличается ли эта проблема между Windows XP и Windows 7?
Нет, такое же поведение.
Есть ли у Microsoft официальная документация по этому поводу?
Эта запись в блоге, наверное, лучший документ, который есть на самом деле.
Я считаю, что у вашего администратора есть некоторые неверные предположения о том, как SID работают в среде домена. SID машины не коррелирует напрямую с SID, созданным для машины в Active Directory. Вся информация о машинах, которые не могут войти в систему или присоединиться из-за того, что другая машина подключена к сети, на самом деле означает, что ваш администратор плохо понимает AD.
Скорее всего, проблемы, которые вы видите, связаны с истекшим сроком действия учетной записи компьютера / компьютера пароли. Эти пароли генерируются автоматически в AD и меняются каждые 30 дней . Если в это время компьютер находится в автономном режиме, он попытается аутентифицироваться с использованием старого пароля. Пользователи не смогут войти через эти машины, потому что AD активно отказывается аутентифицировать учетную запись компьютера. Я считаю, что решение, предоставленное вашим администратором, работает, потому что учетная запись и пароль восстанавливаются во время отключения / повторного присоединения домена. Вы можете проверить эту теорию, пропустив шаг 2.
В качестве альтернативы, если у вас есть powershell v4, доступный на ваших машинах, вы можете использовать новую команду Test-ComputerSecureChannel , чтобы проверить статус доверительных отношений между этим компьютером и домен. Если Powershell v4 недоступен, Netdom также можно использовать для сброса пароля компьютера.
Если ваше доверие / аутентификация подтвердятся, вы могли бы искать другие проблемы с вашим AD, потенциально репликация и / или проблемы с ролями FSMO.
Идентификаторы безопасности учетных записей компьютеров по-прежнему используются некоторыми функциями программного обеспечения Microsoft (WSUS, SCCM, SCEP и т. д.). Я также видел SID машины, используемый сторонними поставщиками (глядя на вас, Symantec). Вы можете обойтись без sysprepping, но в наши дни с доступными технологиями обработки изображений нет причин пропускать sysprepping вашего образа.
Относительно вашего (2) вопроса. Между Win7 и XP есть некоторые структурные изменения, но, насколько мне известно, не должно быть каких-либо фундаментальных изменений в том, как работает SID, хотя, как я уже сказал, некоторые требования к программному обеспечению изменились.
По вашему 3-му вопросу. , Я бы рекомендовал прочитать Microsoft ' s страницы technet для обоих SID , а также ознакомьтесь со страницами устранения неполадок соединения и аутентификации (также technet). Если это не ответит на все ваши вопросы, я бы посмотрел на книгу или две по этой теме, LDAP и AD действительно могут быть глубоким погружением, но концепции, лежащие в основе них, являются жизненно важной частью набора знаний современных ИТ-специалистов.