Дубли учетных записей SID $DUPLICATE

Обновлено 10.11.2017

active-directory

Добрый день уважаемые читатели блога pyatilistnik.org, продолжаем траблшутинг с активным каталогом Active Directory, не так давно придя с утра на работу, ко мне обратились трое сотрудников с проблемой, что у них все пропало с рабочего стола и профиль абсолютно пустой. Подойдя к одному из них я начал изучать его компьютер с операционной системой Windows 10 Creators Update, у него действительно был чистый рабочий стол, зайдя в корень диска C:\ я обнаружил, две учетных записи с одним и тем же логином, единственная разница, у одной был дописан UPN суффикс. В базе Active Directory я обнаружил учетную запись с обозначением SID $DUPLICATE, давайте разбираться и вернем пользователю его рабочий стол.

Relative Distinguished Name (RDN)

И так, как и написал выше, на компьютере пользователя появился дублированный пользователь. Зайдя через оснастку ADUC я увидел пользователя у которого в имени была абракадабра, по типу "NF:4d844572-6bc6-4632-9977-648ce80dbea0"

Дубли $DUPLICATE-918

Если кто не в курсе, то в рамках одного леса Active Directory не может быть двух одинаковых логинов, я решил посмотреть обе учетные записи на предмет конфликта. В итоге у новой учетки вместо имени входа пользователя (пред-Windows 2000) стояло вот такое значение $DUPLICATE-918.

Свойства учетной записи $DUPLICATE-918

Я еще решил проверить SID учетных записей, они оказались разные, что еще больше меня запутало. В итоге стал производить диагностику Active Directory с помощью вот такого скрипта.

SID $DUPLICATE-918

repadmin /replsummary
pause
dcdiag /a /q
pause
repadmin /syncall
pause

По результатам проверки, выяснилось, что у меня была проблема с репликацией между сайтами, где одни системные администраторы создали точный дубль учетной записи пользователя, и так как он был сделан позже, то стал главнее и добавил для старой учетной записи суффикс SID $DUPLICATE. Что делал для устранения проблемы:

  • Отключил учетку без SID $DUPLICATE
  • Потом заменил SID $DUPLICATE на стандартный логин пользователя
  • Перезагрузил, компьютер пользователя и удостоверился, что рабочий стол вернулся.

Кстати у Microsoft про такую проблему есть статья, о Relative Distinguished Name (RDN)

https://social.technet.microsoft.com/wiki/contents/articles/15435.active-directory-duplicate-object-name-resolution.aspx

В статье автор как раз и рассказывает о конфликте со значением sAMAccountName, сам конфликт распознается системой, через 30 минут. Когда обнаружен объект с дублирующимся именем sAMAccountName, в журнале системных событий регистрируется событие с идентификатором события 12304. Подробности описывают объект, чье имя sAMAccountName было изменено, но нет информации об исходном значении sAMAccountName или конфликтующем объекте.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *