Domain 密码不能同步

eric_gao

公司的laptop， 在公司接在AD环境下，改密码，同步密码都没问题。 现在把这个laptop做个了p2v, 虚拟机运行一切正常， 也可以正常连接公司vpn， 接入AD环境， 密码不能同步。  分两种情况

1. 因为p2v 在密码45天有效期内做的，  虚拟机运行起来的时候，cached 密码和domain上的一致， 在没起动vpn，没接入AD环境下，可以正常lock， 并用正常的密码unlock/logon， 接入VPN，在AD环境下， 如果虚拟器不lock还好，工作正常， 但是一旦lock， 用密码logon就会提示
"The trust relationship between this workstation and the primary domain failed",  这个时候不能登录， 只能换另外一个admin用户登录， kill vpn进程， 断开VPN、AD 环境， 这样就又可以用正常的密码登录原来的domain 用户。


2. 最近用laptop登录AD环境，修改了密码， laptop上cached credential都成功修改了， 无论在有或者没有AD环境下，都能用新密码登录。
用虚拟机的时候，可以登录虚拟机（用旧密码），然后登录VPN/AD环境（用新密码）， 在AD环境下，也工作正常，但是时不时的就提示
"Windows needs your current credentials to ensure network connectivity.  Please lock this computer, then unlock it using your most recent password or smart card"， 这个时候如果ctrl+alt+del lock, 然后用新密码或旧密码都无法登录， 或提示
"The trust relationship between this workstation and the primary domain failed", 又是无解， 只能换另外一个admin用户登录，kill VPN 进程，断开AD环境，然后用旧密码登录。


从domain controller角度看， 它应该能看到两个clients， 几乎一模一样， 一个是physical， 一个是virtual， 但是不同时在AD环境下联网， 一个连上，另一个就断开。   为什么laptop就可以同步密码呢？  我也试过在虚拟机连接VPN/AD环境下，选择修改密码，提示成功修改密码， 但是修改完后, 如果lock 虚拟机，还是不能用新密码（或者旧密码）登录， 还是提示 "The trust relationship between this workstation and the primary domain failed", 如果断开VPN/AD环境，发现是可以用新密码登录虚拟机的。

这个时候，用laptop登录AD环境， lock电脑，用新密码unlock就一下同步完毕， 无论在有没有AD， 都可以用新密码登录。

总结下来， 就是虚拟机在AD环境下， 不能用AD的用户名密码unlock 登录。

罗哩罗嗦一大堆，不知道说明白没， 有熟悉AD的同学吗， 帮菜鸟我看看， 先谢了，  有分分的。

purplechilli

笔记本和虚拟机都加入了域吧？这两用的同一个主机名吗？

eric_gao

purplechilli 发表于 2016-3-29 10:36
笔记本和虚拟机都加入了域吧？这两用的同一个主机名吗？

对阿，都加入域了， 做完p2v 也没修改任何东西，所以是同一个主机名，就是想让虚拟机也能无缝加入AD。

但是他们不会同时登录AD， laptop登录的时候，虚拟机就断开，虚拟机登录的时候，laptop就断开。

purplechilli

eric_gao 发表于 2016-3-29 10:43
对阿，都加入域了， 做完p2v 也没修改任何东西，所以是同一个主机名，就是想让虚拟机也能无缝加入AD。

...

想办法改名试试吧，每个机器都是一个独立的个体，分享一个名字应该是不鼓励的，容易出各种问题。因为AD那边不知道你是2个机器，他只看到一个主机名，这个主机不停的切换各种特征。

比如：AD的DNS里，一个机器一个IP。你这边2个机器用一个名字，AD要跟机器A通信的时候，DNS那里可能还是指到机器B。

eltonfive

As each client machine has machine password against AD under the hood, it will change following your AD policy, normally 30 days.

So if you have two client share same SID in AD, once one client change password, the other one will have wrong password, that means it will have a broken secure channel against AD.

Your proper solution to this is to change host name and rejoin to AD.

交易人生

先把vm退出domain，改成work group ，然后再RE-JOIN domain。。。

panterali

purplechilli 发表于 2016-3-29 10:50
想办法改名试试吧，每个机器都是一个独立的个体，分享一个名字应该是不鼓励的，容易出各种问题。因为AD那 ...

AD里用SID标识计算机或用户，无所谓计算机的名字，但是SID一定要是唯一的，你这么做的话注册表里的这个随机‘键’应该也完全一样的，google一下sysprep，然后重新初始化一下系统应该可以。

没搞过P2V，V2V这么干过

最后，请狂加分

eric_gao

panterali 发表于 2016-3-29 16:49
AD里用SID标识计算机或用户，无所谓计算机的名字，但是SID一定要是唯一的，你这么做的话注册表里的这个随 ...

做p2v 就是想最大限度保留已有设置， 这样可以继续无缝的接入原有domain。 公司的laptop都是深度客户化的，各种设置，各种policy只有都保留了，才能接入domain， 使用intranet上的各种应用。  Sysprep？  这是要把打回原型， 绝对要避免的。

eric_gao

交易人生 发表于 2016-3-29 16:43
先把vm退出domain，改成work group ，然后再RE-JOIN domain。。。

看到有这么做的，唯一就是担心，改下work group， 再rejoin 就怕不能加入domain了。  我这个p2v做出来不容易， 选的的是单个文件， 110G， 跑了两天多才结束， 而且又好一通tweak才稳定下来， 实在不想从头再来一遍了。

商务车

eric_gao 发表于 2016-3-29 19:00
看到有这么做的，唯一就是担心，改下work group， 再rejoin 就怕不能加入domain了。  我这个p2v做出来不 ...

做个备份不就行了？这不就是vm的好处吗？

panterali

eric_gao 发表于 2016-3-29 18:58
做p2v 就是想最大限度保留已有设置， 这样可以继续无缝的接入原有domain。 公司的laptop都是深度客户化的 ...

据我所知没有其他改变SID的方法，退domain再加进去也无济于事，AD无法允许两个安全标示符一样的对象存在，我只能解释道这里了，好运

purplechilli

panterali 发表于 2016-3-29 16:49
AD里用SID标识计算机或用户，无所谓计算机的名字，但是SID一定要是唯一的，你这么做的话注册表里的这个随 ...

首先说下，AD我不是高手，说错欢迎指正啊。

他这个情况，是2个机器同时存在，共享一个名字，即便不同SID也照样要出事的？
AD的内部通信，我个人理解还是走DNS解析到IP，通过IP那边通信的？

我个人觉得楼主这个，虚拟化的时候应该已经重新生成SID了吧。
楼主有时间折腾的话，可以试试不同SID，还是双机重名，是不是还有问题

eltonfive

Every time you re-join the machine to AD, it will be assigned to a new SID, even with same host name. If the SID on your host does not match the active SID in AD, you'll have a broken secure channel. At any time, you should only have one host map to the SID.

The reason the P2V host was still able to function in AD is because AD related info was intact at that point of time, after it fall out of the machine password refresh period, it became a conflict object in AD.

So the goal to keep two host with same name in AD at same time is simply not achievable. Even new SID assigned to it, you can not use same computer name, as sAMAccountName attribute has computer name and "$", AD not suppose to have duplicate sAMAccountName.

eric_gao

eltonfive 发表于 2016-3-30 10:47
Every time you re-join the machine to AD, it will be assigned to a new SID, even with same host name ...

看来此题无解了。

现在已经过去好几个password refresh 周期了，我的p2v 机器的密码就成功修改过一次，以后每次修改都提示relationship lost

所以现状就是

1 laptop没有问题， 一切工作正常。

2 p2v 可以vpn，接入intranet, 使用可种intranet 应用，唯一烦恼的就是密码一直不能修改，已经和AD的密码不一致好久了， 每次vpn接入intranet 的时候，lync, proxy 什么的，都要手工输入最新密码， p2v的机器我也设置了不lock。

虽然是外行，其实也隐约觉得无解， 既然大侠们都确认了，我也就不用费劲，每天到处找解决方案了，就这么将就用了。

多谢各位了。

turquois

能说说 为什么要同时保留laptop和虚拟机吗？既然已经p2v了，应该是希望用虚拟机而不是laptop吧。

eric_gao

turquois 发表于 2016-4-4 15:07
能说说 为什么要同时保留laptop和虚拟机吗？既然已经p2v了，应该是希望用虚拟机而不是laptop吧。 ...

因为经常到客户那工作， 客户提供一个laptop，  但是还用自己的电脑方便，各种软件都有， 特别是公司内部使用的软件。 做个p2v，这样在客户那就可以像使用自己laptop那样了， 不用每天都背个笔记本电脑。

turquois

eric_gao 发表于 2016-4-4 18:45
因为经常到客户那工作， 客户提供一个laptop，  但是还用自己的电脑方便，各种软件都有， 特别是公司内部 ...

Apologize that the Chinese input doesn't work very well on my work computer....
I hope I didn't understand your wrong. You have two laptops, one is from your client and one is your company one. You p2v your company one so that you can remote access it when you are at your client site.
If so, Why don't you just use the VM (p2v) as your actual working workstation? You can rebuild your company laptop and rename it. Join it to domain, so that it won't conflict with the VM's computer name. From the laptop, you can remote access the VM and use it all the time.
The down side of this solution is that you may want to take your company laptop and work remotely, in which case, you need a good Internet connection from home or wherever you work.
Two machines share the same computer name will cause a lot of trouble at the end.

symeteor

panterali 发表于 2016-3-29 21:35
据我所知没有其他改变SID的方法，退domain再加进去也无济于事，AD无法允许两个安全标示符一样的对象存在 ...

怎么可能不能改变sid，从域出来就可以改好么。不然你让大企业怎么批量部署。。。

p2v的机器先退域
然后执行sysprep，选择封装重新生成sid，然后自动重启加域即可

symeteor

eric_gao 发表于 2016-4-4 18:45
因为经常到客户那工作， 客户提供一个laptop，  但是还用自己的电脑方便，各种软件都有， 特别是公司内部 ...

你如果只需要一个一样的桌面，为什么不用citrix？直接公司内部一个VDI,客户那边连过去好了

eric_gao

symeteor 发表于 2016-4-5 11:44
怎么可能不能改变sid，从域出来就可以改好么。不然你让大企业怎么批量部署。。。

p2v的机器先退域

试着退出域，再次加入失败， 我没执行sysprep， 所以sid还是一样，估计是这个原因？


我怕执行sysprep之后，好多的公司设置就全部丢失了，另外即使我执行sysprep，改变sid重新加入域， 只要我有valid 域内用户名密码就行吗？ 还需要ad上管理员做特殊设置吗？

我这些都是自己的操作，公司是不知道的， 而且公司也不可能让我们自己随便拿个电脑就加入域的。 还有会不会引起ad上的问题啊？ 我不想惹什么麻烦， 只是想方便自己的工作。

symeteor

eric_gao 发表于 2016-4-5 12:04
试着退出域，再次加入失败， 我没执行sysprep， 所以sid还是一样，估计是这个原因？

执行sysprep不会改变任何设置
但是，sid肯定会变，加入域后会被识别为一台新机器
至于能不能加，默认的话，一个用户可以加10台机器进入域，但是如果域上有专门改过设置就不一定了

turquois

If the company doesn't know that you created a VM = your VM is not in vCenter, where do you keep it? On the laptop that your client provided?

panterali

symeteor 发表于 2016-4-5 11:44
怎么可能不能改变sid，从域出来就可以改好么。不然你让大企业怎么批量部署。。。

p2v的机器先退域

没说过不能改SID或者SID不能改这类的话啊？为了防喷子留言都是有余地的......

panterali

symeteor 发表于 2016-4-5 11:44
怎么可能不能改变sid，从域出来就可以改好么。不然你让大企业怎么批量部署。。。

p2v的机器先退域

明白问题所在了，我说的是computer SID，你说的是domain SID

前者只可以通过sysprep改，后者如你所说，但是我又想了一下，如果这样，就不需要又退又改了......

eric_gao

turquois 发表于 2016-4-5 14:50
If the company doesn't know that you created a VM = your VM is not in vCenter, where do you keep it? ...

对了， host在客户提供的laptop， 这个laptop也是专属给我的， 平时锁在客户那。

我就是想避免背个笔记本，再装两本书， 走路20分钟，简直就是折磨。

turquois

eric_gao 发表于 2016-4-5 21:55
对了， host在客户提供的laptop， 这个laptop也是专属给我的， 平时锁在客户那。

我就是想避免背个笔记 ...

You can just remote access your laptop from your client's laptop. I still don't get why you had to p2v your laptop.
Leave your laptop in your company and remote access it through VPN/Citrix, whatever available. Ask your company IT people and I think they will be happy to help (Much easier to them to deal with two domain computers share one name). From time to time, your VM will be different from your real laptop, since they may not get the same application at the same time, or Windows updates, etc.

holyshiiiit

你看看你用的account 是network account 还是local account

eric_gao

turquois 发表于 2016-4-6 09:09
You can just remote access your laptop from your client's laptop. I still don't get why you had to ...

公司是agile working, 都没有固定位置的，电脑也都随人走，人不在，电脑是不能放公司的，要么背家去，要么锁在locker里，放家里，试过rdp，adsl的速度能折磨人疯掉。p2v后在客户电脑上运行，效果非常好，就是密码问题无解，实在不行，不能修改密码，我就准备每60天run一遍p2v, 公司密码60过期，刚修改密码就p2v, 这样虚拟机就可以60天没有密码不同步问题。

turquois

eric_gao 发表于 2016-4-6 11:18
公司是agile working, 都没有固定位置的，电脑也都随人走，人不在，电脑是不能放公司的，要么背家去，要 ...

p2v every 60 days ---- you are good!
Well, same here, we will lose our desks soon. Anyway, I'm going to build a VM in vCenter just in case.

Devil_SS

我觉得基本就是要sysprep然后rejoin domain了。两台机share同意个sid肯定是会有问题的。如果不放心，可以在sysprep之前来个vm snapshot？