home *** CD-ROM | disk | FTP | other *** search

---

/ PCMania 75 / PCMania CD75_1.iso / powerq / DRVIMAGE / SID / SIDTEXT.TXT

< prev

Wrap

Text File  |  1998-09-30  |  13KB  |  345 lines

---

1. Imaging Windows NT Workstations: Issues and Solutions 
2.  
3.  
4. Overview
5.  
6. Issues and Solutions
7.  
8. Conclusion
9.  
10. Appendix
11.  
12.  
13.  
14. Overview
15.  
16. As the computer industry changes and develops, software companies are
17. creating software applications  and operating systems that require 
18. more time and effort to install.  Microsoft« Windows NT« is one such 
19. operating system.  A full Windows NT installation, including 
20. installation of common software applications, can take over an hour 
21. to complete and require a technician's input throughout the process.  
22. As companies migrate to Windows NT, they are finding the process to 
23. be very time consuming and costly.  For this reason, imaging 
24. software has come to play an important role when upgrading or 
25. configuring new workstations with Windows NT.
26.  
27. PowerQuest« makes the Windows NT workstation installation quick and 
28. simple with its new imaging product, Drive ImageÖ Professional.  
29. Duplicating Windows NT installations through imaging decreases the 
30. installation time dramatically.  Additionally, once an image is 
31. created, duplicating it across multiple workstations is a  
32. hands-free process.  These advantages result in time and cost 
33. savings from the otherwise lengthy Windows NT installation process.
34.  
35. However, duplicating NT workstations raises issues that must be 
36. fully understood.  This white paper will discuss the three main 
37. issues: Duplicate Computer Names, Duplicate Security Identifiers, 
38. and Broken Implicit Trusts.
39.  
40.             
41.  
42.  
43. Issues and Solutions
44.  
45. When an image is created, the computer name, security identifier 
46. and machine account information are included within the image 
47. file.  All workstations installed from that image will then have 
48. the same computer name and security identifier.  Additionally, 
49. having duplicate machine account information may break the trust 
50. relationship between the workstation and the domain.
51.  
52.     Duplicate Computer Names
53.  
54.     Restoring an image of a Windows NT workstation results in 
55.     two or more workstations having the same computer name.  
56.     If these computers are connected to the same network, a 
57.     name conflict will occur.
58.  
59.         Solution #1:
60.  
61.         PowerQuest Drive Image Professional will 
62.         substitute a new computer name when the image is 
63.         restored.  The user selects the computer name 
64.         replacement option and specifies a new name and 
65.         the partition containing the NT Registry.
66.  
67.         The advantages to this solution include a 
68.         hands-free approach. Solution #1 avoids the 
69.         likelihood of booting the computer into a network 
70.         with duplicate names.
71.  
72.         Solution #2:
73.  
74.         After the image has been restored with Drive Image 
75.         Professional, boot the computer and change the 
76.         computer name from the Network Control Panel.
77.  
78.      Duplicate Security Identifiers
79.  
80.         What is a Security Identifier or "SID"?
81.  
82.         The Security Identifier (SID) is a component of the 
83.         Windows NT security architecture that uniquely 
84.         identifies a computer, user, or group to the network.
85.         During the Windows NT installation process 
86.         (at the point where a computer name is entered), 
87.         the computer is assigned a SID that will persist 
88.         through the life of the install.  Only when Windows 
89.         NT is reinstalled will the computer SID change 
90.         values.  The following is an example of a computer 
91.         SID:
92.  
93.         S-1-5-21-1475229580-284950961-507081533
94.  
95.  
96.  
97.  
98.  
99.         A user or group SID includes the computer SID and an 
100.         additional value called a RID that uniquely 
101.         identifies the user or group.  A relative ID or RID 
102.         is attached at the end of the SID that identifies the 
103.         user or group.  The following is an example of a user 
104.         SID which includes the RID:
105.  
106.         S-1-5-21-1475229580-284950961-507081533-1000
107.  
108.         On a local computer as well as in a workgroup, NT 
109.         stores users and groups on a per computer basis.  As 
110.         a result, the SID associated with a particular user 
111.         will consist of 1) the computer SID of that computer, 
112.         and 2) a RID that is unique among users and groups of 
113.         that computer.
114.  
115.         In a domain network, users and groups reside on the 
116.         Primary Domain Controller (PDC).  The computer SID of 
117.         the PDC  becomes the root SID for all users and groups 
118.         that exist in the domain.  Users and groups then have 
119.         RIDs that are unique within the domain.  The computer 
120.         SID of the PDC is commonly referred to as the domain 
121.         SID.
122.  
123.         It is important to note that the domain SID 
124.         (computer SID of the PDC) is the only significant SID 
125.         in the domain network environment.  The computer SID 
126.         associated with any other computer in the domain is 
127.         NOT used in the domain.
128.  
129.     SID issues and imaging
130.  
131.         Restoring an image of a Windows NT workstation may 
132.         result in two workstations having the same computer 
133.         SID.
134.     
135.         The uniqueness of the computer SID is important to 
136.         network security in a Microsoft workgroup environment.  
137.         It will also be important in the Active Directory 
138.         network model of Windows NT 5.  However,  Microsoft 
139.         domain-based networks do not rely on the computer SID 
140.         and it is not required that it be unique in this 
141.         environment.
142.  
143.         Duplicate Computer SID in Microsoft Workgroups
144.  
145.         A duplicate computer SID in a workgroup environment 
146.         makes workgroup security unmanageable.  It is     
147.         impossible to ensure that a given user has only the 
148.         intended access rights and permissions to workgroup 
149.         resources. Drive Image Professional can change the 
150.         SID during restoration which will avoid future 
151.         problems for Windows NT 5.0   For a scenario that 
152.         illustrates this, see appendix 1.
153.  
154.  
155.  
156.  
157.  
158.         Duplicate Computer SID in Microsoft NT 5
159.  
160.         The uniqueness of the computer SID will also be 
161.         important in the Active Directory network model of 
162.         NT 5.  If one is actively imaging NT 4.0 
163.         workstations, migration to Active Directory may be 
164.         difficult due to the duplicate computer SID issue.  
165.         Drive Image Professional can change the computer 
166.         SID during restoration to avoid future NT 5 
167.         migration problems.
168.  
169.         Duplicate Computer SID in Microsoft Domains
170.  
171.         Microsoft domain-based networks are NOT affected by 
172.         having a duplicate computer SID among any of its 
173.         workstations or member servers.  Only the domain SID 
174.         (computer SID of the PDC or Primary Domain 
175.         Controller and its BDCs or Backup Domain 
176.         Controllers) is required to be unique in this 
177.         environment.  
178.  
179.         Confusion may be caused here by mistaking the Broken 
180.         Implicit Trust issue (see Broken Implicit Trusts) 
181.         with the duplicate computer SID issue.  The broken 
182.         trust issue in domain-based networks, while easily 
183.         solved, is an issue for Windows NT imaging.  The 
184.         duplicate computer SID issue is not.
185.  
186.         Avoiding the Duplicate Computer SID Problem
187.  
188.             Solution #1:
189.  
190.             Drive Image Professional will create 
191.             and replace the computer SID for each 
192.             workstation when an image is restored.  The 
193.             user selects the SID replacement option and 
194.             specifies the partition containing the NT 
195.             Registry.  This solution will resolve the 
196.             Windows NT 5 migration and workstation model 
197.             problems discussed above.
198.  
199.             Solution #2:
200.  
201.             The user creates an image of the Windows NT 
202.             workstation before the computer name is 
203.             assigned during the last phase of the Windows 
204.             NT install.  At this point, a computer SID 
205.             has not been assigned.  Thus, when the image 
206.             is restored and Windows NT is booted, Windows 
207.             NT  will complete the install and assign a 
208.             unique SID.  
209.  
210.             The advantage to this approach is that Microsoft 
211.             will fully support imaged installs that were 
212.             created before the SID has been assigned.  
213.             Microsoft has publicly stated in the Microsoft 
214.             Knowledge Base Article ID #Q162001
215.             (see appendix 2) that they will not support 
216.             workstations that have been imaged after the SID 
217.             is already assigned.
218.  
219.             The disadvantage to this approach is that the 
220.             machine is only minimally configured.  Thus, 
221.             most of the benefit of imaging has been lost.
222.  
223.     Broken Implicit Trusts
224.  
225.         NT Workstations in a Microsoft domain based network must 
226.         establish a trust relationship with a domain controller 
227.         in order to participate in the domain.  This trust 
228.         relationship is characterized by a machine account 
229.         with a password that is negotiated between the 
230.         workstation and the PDC.  This password changes every 
231.         seven days unless otherwise specified.
232.  
233.         If the machine account is terminated on either end, or 
234.         the negotiated password becomes out of sync, then the 
235.         trust relationship is said to be broken.  This will 
236.         result in the Windows NT error message:
237.  
238.             "The system cannot log you on to this domain 
239.             because the system's computer account in its 
240.             primary domain is missing or the password on 
241.             that account is incorrect."
242.  
243.         The machine account is created (or recreated) each 
244.         time the workstation joins the domain.  A broken trust 
245.         therefore can be repaired by removing the workstation 
246.         from the domain, then rejoining it.  A new machine 
247.         account is created with a new password and the trust 
248.         is re-established.  If the machine name account is not 
249.         already created, then a new machine account must be 
250.         added to the server manager.
251.  
252.         Imaging Issues
253.  
254.         Broken trusts can occur during imaging of NT 
255.         workstations.  Broken trusts  are sometimes erroneously 
256.         associated with the Duplicate Computer SID problem 
257.         discussed previously.  It is important to realize that 
258.         domains do NOT have a problem with duplicate security 
259.         identifiers.  Domains do, however, depend on the 
260.         implied trust relationship between the workstation and 
261.         domain controller.  Imaging can result in a broken 
262.         trust in the following scenarios:
263.  
264.         Scenario #1:
265.  
266.         An image of an NT workstation is created within the 
267.         first 7 days of joining a domain.  After 7 days have 
268.         elapsed (i.e., the machine account password has changed), 
269.         if a problem occurs prompting the restore of the original 
270.         image, the original password will be incorrect and the 
271.         workstation will be locked out of the network.
272.  
273.         Solution #1: 
274.  
275.         In Server Manager, add (or remove then add if necessary) 
276.         the workstation to the domain.
277.  
278.         Scenario #2:
279.  
280.         An image of an NT workstation is created after the first 
281.         7 days of joining a domain.  After another password 
282.         change, if a problem occurs prompting the restore of the 
283.         image, the image password will be incorrect and the 
284.         workstation will be locked out of the network.
285.  
286.         Solution #2:
287.  
288.         In Server Manager add (or remove then add if necessary) 
289.         the workstation to the domain.
290.  
291.         On the workstation, open the Network Control Panel and 
292.         under the first tab titled Identification, click Change.  
293.         Change out of the domain, and into a temporary workgroup, 
294.         click OK, and choose No to avoid restarting the 
295.         workstation.  Then go back into the Network Control 
296.         Panel, and rejoin the domain.  The message "Welcome to 
297.         the DomainName domain!" will be displayed, and the 
298.         password will be reset.
299.  
300.         Restart the workstation.
301.         
302.         It is possible to avoid machine account password 
303.         conflicts by disabling the periodic password changes 
304.         (see Knowledge Base article Q154501, Appendix 2).  
305.         It must be understood that this weakens the NT 
306.         security model.
307.  
308. Conclusion
309.  
310. PowerQuest offers powerful solutions to ensure that the imaging of 
311. Windows NT workstations is fast, simple and secure.  Drive Image 
312. Professional includes a SID replacement utility which assures 
313. that each workstation is assigned a unique computer SID.  This 
314. utility can be downloaded from our web site at 
315. http://www.powerquest.com/technical/di/sid.html.  
316. The SID utility has been working consistently in our lab and 
317. at selected beta sites.  When additional issues arise as we 
318. continue to test and work with this solution,  updates will be 
319. made available on our web site.  PowerQuest has built a 
320. reputation for quality and expertise with hard-disk utilities 
321. and wants, with your help, to build the very best solution for 
322. Windows NT installation issues.  PowerQuest is attempting to 
323. get Microsoft's cooperation to permanently solve the problem. 
324.  
325. Appendix
326.  
327. ò    Article ID: Q162001
328.     Microsoft Knowledge Base
329.  
330. ò    Article ID: 154501
331.     Microsoft Knowledge Base
332.  
333. ò    How to add a computer to a domain
334.     Microsoft Knowledge Base
335.     http://premium.microsoft.com/
336.     support/ntserver/serviceware/06900013.ASP
337.  
338.  
339. We welcome your suggestions and comments.
340. Please send an email to sid@powerquest.com
341.  
342. Copyright ⌐ 1997 PowerQuest Corporation, All rights reserved
343. All registered trademarks and trademarks are the property of 
344. their respective holders.
345.