Что означает выбранное значение для domain ошибочно
Смена SID при клонировании и массовом развёртывании
Привет, Хабр! Упомянутая в заголовке тема всё ещё порождает множественные дискуссии и недопонимание между системными администраторами. В своей статье я постараюсь ответить на следующие вопросы:
В основу рассуждений была взята популярная статья Марка Руссиновича (доступна также на русском языке), которую довольно часто неправильно интерпретируют (судя по комментариям и «статьям-ответам»), что приводит к неприятным последствиям. Добро пожаловать под кат.
Что такое SID, его типы и чем отличается Machine SID от Domain SID?
В первую очередь, важно различать SID компьютера (Machine SID) и SID домена (Domain SID), которые являются независимыми и используются в разных операциях.
Machine SID и Domain SID состоят из базового SID’а (base SID) и относительного SID’а (Relative SID = RID), который «приклеивается» в конец к базовому. Базовый SID можно рассматривать как сущность, в рамках которой можно определить группы и аккаунты. Машина (компьютер) является сущностью, в рамках которой определяются локальные группы и аккаунты. Каждой машине присваивается machine SID, и SID’ы всех локальных групп и аккаунтов включают в себя этот Machine SID с добавлением RID в конце. Для примера:
| Machine SID для машины с именем DEMOSYSTEM | S-1-5-21-3419697060-3810377854-678604692 |
| DEMOSYSTEM\Administrator | S-1-5-21-3419697060-3810377854-678604692-500 |
| DEMOSYSTEM\Guest | S-1-5-21-3419697060-3810377854-678604692-501 |
| DEMOSYSTEM\CustomAccount1 | S-1-5-21-3419697060-3810377854-678604692-1000 |
| DEMOSYSTEM\CustomAccount2 | S-1-5-21-3419697060-3810377854-678604692-1001 |
Именно SID’ы (а не имена) хранятся в токенах доступа (access tokens) и дескрипторах безопасности (security descriptors), и именно SID’ы используются при проверке возможности доступа к объектам системы Windows (в том числе, например, к файлам).
На машине вне домена используются локальные SID’ы, описанные выше. Соответственно, при соединении с машиной удалённо используется локальная аутентификация, поэтому даже имея 2 или более машин с одинаковым machine SID в одной сети вне домена, проблем с логином и работой внутри системы не будет, т.к. SID’ы в операциях удалённой аутентификации попросту не используются. Единственный случай, в котором возможны проблемы, это полное совпадение имени пользователя и пароля на двух машинах – тогда, например, RDP между ними может глючить.
Когда машина добавляется в домен, в игру вступает новый SID, который генерируется на этапе добавления. Machine SID никуда не девается, так же как и локальные группы, и пользователи. Этот новый SID используется для представления аккаунта машины в рамках домена. Для примера:
| Domain SID для домена BIGDOMAIN | S-1-5-21-124525095-708259637-1543119021 |
| BIGDOMAIN\DEMOSYSTEM$ (аккаунт машины (computer account)) | S-1-5-21-124525095-708259637-1543119021-937822 |
| BIGDOMAIN\JOHNSMITH (аккаунт пользователя (user account)) | S-1-5-21-124525095-708259637-1543119021-20937 |
Таким образом, машина DEMOSYSTEM теперь имеет два независимых SID’а:
• Machine SID, определяющая машину как сущность, в рамках которой заданы группы и аккаунты (первая строчка в первой таблице).
• SID аккаунта машины (computer account SID) в рамках домена BIGDOMAIN (вторая строчка во второй таблице).
Основная суть в том, что SID’ы должны быть уникальны в пределах окружения (authority), к которому они применимы. Другими словами, если машине DEMOSYSTEM присвоен machine SID S-1-5-21-3419697060-3810377854-678604692-1000, то неважно, что у другой машины в той же сети будет идентичный machine SID, т.к. этот SID используется только локально (в пределах машины DEMOSYSTEM). Но в пределах домена BIGDOMAIN computer SID у обоих машин должен быть уникальным для корректной работы в этом домене.
Смена SID при клонировании или развёртывании
В применении к продукту Acronis Snap Deploy 5 (основное предназначение — массовое развёртывание систем из мастер-образа), в котором функциональность смены SID-а присутствовала с самой первой версии, это означает, что мы, как и многие пользователи, ошибочно пошли на поводу у устоявшегося мнения, что менять SID нужно.
Однако исходя из вышесказанного, ничего страшного в развёртывании (или клонировании) машины без изменения Machine SID вовсе нет, в случае если это развёртывание происходит до добавления машины в домен. В противном случае — возникнут проблемы.
Из этого правила есть одно исключение: нельзя клонировать машину, если в дальнейшем роль этого клона планируется повышать (promote) до уровня домена контроллера. В этом случае Machine SID домен контроллера будет совпадать с computer SID в созданном домене, что вызовет проблемы при попытке добавления оригинальной машины (из которой производилось клонирование) в этот домен. Это, очевидно, относится только к серверному семейству Windows.
Проблемы, связанные со сменой SID
Пересмотреть точку зрения на функциональность смены SID нас подтолкнул выпуск новой версии Windows. При первом тестовом развёртывании образа Windows 10 со сменой SID на получившейся машине обнаружилось, что кнопка Start перестала нажиматься (и это оказалось только вершиной «айсберга»). Если же развёртывать тот же образ без смены SID, то такой проблемы не возникает.
Основная причина в том, что эта опция вносит изменения практически во всю файловую систему развёртываемой машины. Изменения вносятся в реестр Windows, в разрешения NTFS (NTFS permissions) для каждого файла, в SID’ы локальных пользователей (так как SID пользователя включает в себя в том числе и machine SID; подробнее тут) и т.д.
В случае с Windows 10 большая часть ключей реестра не могла быть модифицирована («Error code = C0000005. Access violation» и другие ошибки) и, как следствие, наша функция смены SID’а отрабатывала не до конца, что и приводило к трагической гибели практически нерабочей копии Windows 10.
Было принято решение убрать эту опцию в случае, если в мастер-образе мы находим Windows 10 (или Windows Server 2016). Решение было принято на основе теоретических выкладок описанных выше плюс, естественно, было подтверждено практикой при тестировании недавно вышедшего обновления Acronis Snap Deploy 5 во множестве комбинаций: с и без переименования машин после развёртывания, с добавлением в домен и рабочую группу, развёртывание из мастер-образов снятых от разных состояний мастер-машины (она была добавлена в домен или рабочую группу в разных тестах) и т.д.
Использование Sysprep
Начиная с Windows NT клонирование (развертывание) ОСи с использованием только NewSID никогда не рекомендовалось самим Microsoft. Вместо этого рекомендуется использовать родную утилиту Sysprep (см. KB314828), которая, помимо смены SID’а, также вносит большое число других изменений, и с каждой новой версией Windows их становится только больше. Вот небольшой (неполный) список основных вносимых изменений:
Таким образом, клонирование/развертывание без использования Sysprep может повлиять (читай «скорее всего, сломает») на функциональность Windows Update, Network Load Balancing, MSDTC, Vista и выше Key Manager Activation (KMS), который завязан на CMID (не путать с Machine SID), также изменяемый Sysprep’ом, и т.д.
Итого
Повторяя TL;DR из начала статьи, основной вывод можно сделать такой: для подготовки образа машины к клонированию/развёртыванию следует использовать sysprep в подавляющем большинстве случаев. 
Изменение значений домена
В этом разделе описывается, как изменить и дополнить метаданные в базе знаний в службах Data Quality Services (DQS). После создания набора знаний путем обнаружения набора знаний, импорта знаний в базу знаний или домены или подготовки базы знаний на основе другой базы знаний можно интерактивно изменять значения данных. Создание базы знаний не является строго автоматическим процессом. Можно использовать собственные знания для проверки и изменения значений данных следующими способами.
Добавить значение домена в список значений или выбрать значение и удалить его из списка.
Изменить состояние значения домена, назначенное на этапе анализа службами DQS, на одно из следующих: «верно», «ошибочно» или «недопустимо».
Ввести значение для замены ошибочного или недопустимого значения. Значение недопустимо, если оно не принадлежит домену, например если оно не соответствует типу данных домена или нарушает правило домена. Значение ошибочно, если принадлежит домену, но содержит синтаксическую ошибку.
Задать два значения или несколько в качестве синонимов и изменить ведущее значение, назначенное в процессе обнаружения, в результате чего ведущее значение заменяет значение синонима, если при создании домена было установлено свойство Использование ведущего значения
Импортировать значения в домен из файла Excel
Перед началом
Предварительные требования
Чтобы изменить значение домена, необходима база знаний и домен, открытый в операции управления доменами.
безопасность
Permissions
Для изменения значений домена необходимо иметь роль dqs_kb_editor или dqs_administrator в базе данных DQS_MAIN.
Изменение значений домена
В таблице Значение отображаются знания, добавленные в базу знаний для отдельного домена. В любое время вы можете выбрать другой домен в списке доменов для отображения значений для данного домена. Поле содержит следующие столбцы.
Столбец Значение отображает все значения, добавленные процессом обнаружения к выбранному домену из поля в образце данных. Любое значение, рассматриваемое как ошибочное, будет показано в качестве синонима для значения, рассматриваемого как верное.
Столбец Тип отображает состояние значения, определенное процессом обнаружения. Зеленый флажок указывает, что значение верно или исправлено; красный крест — что значение ошибочно, а оранжевый треугольник с восклицательным знаком — что значение недопустимо. Недопустимое значение не соответствует требованиям к данным для домена. Ошибочное значение может быть допустимым, но неправильным по причинам, связанным с данными.
В столбце Исправить на показано правильное значение, на которое изменяется исходное значение, отмеченное как ошибочное или недопустимое. По результатам процесса обнаружения службы DQS могут предложить правильное значение.
Чтобы изменить значения, выполните следующие действия.
Запустите клиент DQS. Дополнительные сведения об этой процедуре см. в разделеЗапустите приложение Data Quality Client.
Управление доменами осуществляется на странице клиента службы Data Quality Services, которая содержит пять вкладок для отдельных операций управления доменом. Это не процесс, управляемый мастером; любая операция управления может быть выполнена отдельно.
Чтобы изменить состояние значения, необходимо выполните следующие действия:
Задать выбранные значения домена как исправленные: чтобы изменить состояние значения с «ошибка» или «недопустимо» на «верно», выберите значение, а затем установите Выбранные значения домена как исправленные (проверить) со стрелкой вниз на панели значков или из раскрывающегося списка «тип». Если ошибочное или недопустимое значение сгруппировано с правильным значением, удалите это значение после операции.
Задать выбранные значения домена как ошибки: чтобы изменить состояние значения с верного или недопустимого на ошибка, выберите значение и щелкните значок Задать выбранные значения домена как ошибки (крест) на стрелке вниз на панели значков или в раскрывающемся списке тип. Вы можете ввести исправление в столбце Исправить на или оставить его пустым.
Задать выбранные значения домена как недопустимые: чтобы изменить состояние значения с «верно» или «ошибка» на «недопустимо», выберите значение, а затем щелкните значок Задать выбранные значения домена как недопустимые (треугольник) на стрелке вниз на панели значков или в раскрывающемся списке тип. Вы можете ввести исправление в столбце Исправить на или оставить его пустым.
Чтобы определить значения как группы синонимов, выберите несколько значений, которые являются правильными, а затем выполните следующие действия.
Если выбрано два или несколько значений или несколько в группе и другое значение вне этой группы, а затем они назначены синонимами, будет получено неверное сообщение об ошибке. После закрытия всплывающего сообщения об ошибке значения будут правильно назначены синонимами.
Добавить новое значение домена. Щелкните, чтобы добавить строку в конец таблицы. После ввода значения строка будет позиционирована в алфавитном порядке и определена в качестве нового элемента предшествующим символом звездочки.
Дальнейшие действия. После изменения значений домена
После изменения значений для домена можно выполнить для него другие задачи управления доменами, обнаружение знаний, а также добавление в домен знаний или политики сопоставления. Дополнительные сведения см. в разделах Обнаружение набора знаний, Управление доменом и Создание политики сопоставления.
Смысл правильного, ошибочного и недопустимого значений
Каждому значению в таблице Значение на странице Значения домена назначается параметр Тип — Правильно, Ошибкаили Недопустимо. Тип значения первоначально назначается операцией обнаружения знаний, и его вы можете изменить по своему усмотрению. Последний тип, основанный на обнаружении и интерактивных изменениях, формируется операцией очистки. Эти значения имеют следующий смысл.
Правильно. Это значение принадлежит к домену и не имеет каких-либо синтаксических ошибок. Например, значение «Чикаго» в домене «Город» — правильное.
Ошибка. Это значение принадлежит домену, но является неверным. Например, «Шикаго» вместо «Чикаго» в домене «Город» — ошибка. Службы DQS определяют значение как ошибочное, если выявлена синтаксическая ошибка, и назначают связанное исправление в процессе обнаружения. Орфографические ошибки относятся к числу синтаксических ошибок.
Недопустимый. Это значение не принадлежит к домену и не имеет исправления. Например, значение «12345» в домене «Город» является недопустимым. Службы DQS определяют значение как недопустимое, если оно не соответствует правилу домена.
Тип значения вы можете изменить вручную на любое из двух других значений. Службы DQS не обеспечивают правильность и семантику ошибок при ручных операциях. Исправление для недопустимого значения вы можете ввести без изменения его статуса. Вы можете объявить значение недопустимым, даже если оно не нарушает правила домена. Службы DQS могут определить значение как ошибочное, даже если в процессе обнаружения не выявлены синтаксические ошибки. Вы можете также удалить исправление ошибочного значения, которое отмечено как правильное, без изменения его статуса.
How to Display the Appropriate Values
Вы можете изменять отображаемые сведения следующим образом.
Как обрабатывать значения, эквивалентные NULL
Каждая таблица значений на вкладке Значения домена содержит значение DQS_NULL. Значение NULL в источнике данных будет отображаться как SQL_NULL в таблице значений. Вы можете задать одно или несколько значений, эквивалентных NULL, в качестве синонимов для DQS_NULL. После этого все значения NULL и значения, эквивалентные NULL, будут обрабатываться как DQS_NULL.
Что такое домен и зачем он нужен: определение доменного имени простыми словами
Большинство юзеров из числа тех, кто не разбирается в устройстве компьютеров и процессов в них происходящих, не имеют об этом ни малейшего представления. В действительности, каждый из нас, кто хотя бы однажды открывал окно браузера и переходил на какой-либо сайт, сталкивался с этим понятием. Постараемся разобраться, что же это за явление в современных информационных технологиях. Домен сайта в интернете и доменное имя: что это такое и зачем нужно, определение простыми словами — тема нашей сегодняшней статьи. Далее поговорим подробнее об основных вспектах, связанных с данным понятием.
Что такое домен
Это название сайта. Чтобы было понятнее, представьте себе какое-нибудь здание (объект), куда вам необходимо попасть. Например, в салон сотовой связи определенного оператора, в котором вы еще ни разу не были. Чтобы добраться туда, нужно знать адрес, по которому этот пункт располагается. То есть, потребуются точные координаты: улица, номер дома, корпуса, а возможно и офиса. В противном случае вы не достигнете цели. Невозможно отправиться наобум в любом направлении и прийти в место назначения.
То же самое происходит в отношении сайтов. Каждый из них наделен собственным местом — сетевым IP-адресом. Это обеспечивает полноценное функционирование и дает возможность ресурсам не конфликтовать в рабочем режиме.
Домен способен содержать от 2 до 63 символов. Чаще всего владельцы веб-сайтов предпочитают прописывать его самостоятельно и впоследствии арендовывать. Названия продают на созданных специально для этого площадках. На них же всем желающим доступна функция проверки на предмет совпадения с уже имеющимися.
Создавая название, надлежит соблюдать определенные условия:
В некоторых случаях имеют место дополнительные ограничения, устанавливаемые администрацией ресурса, на котором осуществляется продажа и регистрация доменов.
Из чего состоит
В основе их устройства лежит иерархия в виде подразделения на части. Так, имена третьей ступени базируются на названиях второй, наименования второй, в свою очередь, на основании первой. Подразделяются они на следующие виды.
Домен и хостинг: в чём разница
Мы уже выяснили, что доменом называется имя веб-сайта, содержащее минимум два уровня. Хостинг же представляет собой определенные услуги, благодаря которым сайт находится на сервере и отображается в сети. Соответственно, компании, которые их оказывают — это хостинг-провайдеры.
Хостинг — весьма непростой и продолжительный процесс. Ведь для каждой папки с файлами (а их на одном сайте может быть огромное количество) нужно подобрать собственное место на сервере, чтобы обеспечить бесперебойное функционирование.
Что такое уровень домена
На схематичном примере это выглядит так:
Таким образом, без труда прослеживается расположение по значимости. В первую очередь прописывается домен (это, как правило, территориальное обозначение). Если название веб-сайта заканчивается на KZ — перед вами страница из Казахстана. Следом наблюдается взятое в аренду имя, придуманное самим пользователем (владельцем ресурса). Последняя же категория предназначена для создания сайтов, находящихся внутри других сайтов. Чтобы понять, что к чему, представьте себе крупный интернет-магазин, в котором функционирует целая сеть маленьких магазинчиков.
Отдельно стоит отметить, что оплата имени второго уровня производится один раз в год. По истечении времени его необходимо снова зарегистрировать (продлить). Если этого не сделать, название могут перекупить другие пользователи.
Зоны доменных имен
В каких случаях выбирать территориальную
Зоны принято прописывать согласно географическому расположению стран. У каждого государства своя собственная. Так, в Казахстане — это KZ, в России — RU, в Беларуси — BY, в Японии — JP и т.д. Выкупить такую зону не представляется возможным, но ее можно выбрать из имеющихся.
Пользователями в нашей стране проще воспринимать и запоминать имена в зоне ru. Поэтому все компании, осуществляющие свою деятельность в сетевом пространстве Российской Федерации, стараются осуществить регистрацию названия именно в ней. Нередки случаи, когда определенный домен занят, тогда организации прибегают к решению проблем другими путями.
В каких случаях выбирать тематическую
Когда можно использовать территориальную зону в качестве тематической
Существуют имена, которые перекликаются с сокращенными определениями в различных сферах. Именно поэтому их зачастую задействуют при прописывании тематических.
В качестве примеров подобной переклички стоит продемонстрировать несколько.
Подходящие зоны обычно подбирают на специальных сервисах. Проверка названия на предмет занятости производится всего в несколько кликов. Достаточно просто вбить его в поисковую систему и дождаться результатов.
Что такое домен компьютера
Отыскать необходимый ПК по имеющемуся индивидуальному адресу, представленному в виде буквенно-цифрового сочетания в разы проще, чем запомнить для его обнаружения 2 – 3 десятка цифр.
Регистрацию и обслуживание компьютерных доменов осуществляет специализированная служба DNS — Доменная система названий. В ее компетенцию входит обеспечение связи ПК с мировой сетью, безопасность, своевременное обновление и организация бесперебойной работы машин.
Домены в DNS
Домены в быту
Каждый юзер без исключения мечтает получить звучное имя для своего веб-сайта. Но его форма нисколько не влияет на отношение к нему доменной системы названий. Она имеет значение разве что для попадающих на сайт пользователей. Если имя выразительное и звучное, хорошо запоминается и отображает в себе основную тематику ресурса, велика вероятность, что оно понравится посетителям. Ведь домен — это совокупность запоминающегося имени и заданной тематики.
Регистрация
История доменного имени оказывает огромное влияние на успешное продвижение сайта. Если когда-то по данному адресу располагалась низкокачественная площадка (что весьма распространенное явление в сети), хороших результатов добиться не удастся, как ни старайся. Происходит это потому, что поисковые системы хранят данные довольно продолжительное время в своих базах. Так, если вы обзаведетесь доменом, где раньше находился посредственный ресурс, на котором публиковались ссылки на запрещенные сайты, назойливые рассылки — ждите неприятностей. Чтобы избежать подобного развития событий, следует проверять адрес еще до оформления.
Как проверить домен перед регистрацией
Выяснить подробности истории можно посредством специального проекта archiv.org, существующего в сети. Он хранит информацию практически обо всех веб-сайтах в мире, которые не закрываются от его робота.
Нужно всего лишь вбить заинтересовавший вас адрес и кликнуть ввод. Вас перебросит на календарь хранящихся копий, где останется только посмотреть, как выглядел сайт раньше.
В данном примере мы имеем дело с чистым адресом, ненадлежащих негативных элементов в нем нет. Анализируя данные, можно прийти к выводу, что дальше взятия домена дело не продвинулось. Арендный период названия или хостинга завершился, веб-сайт за это время так и не наполнили контентом. Как вариант, стоящее привлекательное имя могли зарегистрировать с целью последующей перепродажи. Есть в сети пользователи, промышляющие таким видом заработка. Но в целом приобрести на определенный срок и задействовать по своему разумению данный адрес — хорошая идея.
Можно посмотреть пример страницы из архива поисковой системы Яндекс за 2005 год.
Примечательно, что все ссылки на активны, если произвести проверку в сервисе.
Проверять надлежит не только доменный адрес, но и IP. Сделать это можно при помощи специализированного сервиса www.dnsbl.info. Так удастся без труда определить нелегальную рассылку, присутствие в черных списках. Если по каким-то причинам, не зависящим от вас (до приобретения), адрес попал в блек-лист, есть возможность его очистить. Для этого предстоит обратиться к провайдеру и в точности соблюдать все данные им инструкции.
Почему важно выбрать хорошее доменное имя
Домен влияет на продвижение вашего сайта
Не только доменное название способствует успешному функционированию ресурса, немаловажную роль также играет правильный подбор зоны. Так, например, наименование определенной марки продукции и ключевые слова в нем непосредственно ведут к повышению позиций в поисковой выдаче.
Поменять домен в будущем будет проблемой
Все время, пока вы активно используете адрес, он формирует свою репутацию в поисковых системах. Именно она имеет большое значение в росте или снижении позиций. Поэтому к вопросам что такое domain и как правильно его подобрать, надлежит отнестись со всей тщательностью.
Как создать подходящее доменное имя
Помните о целевом назначении названия. Оно должно не только привлекать своим удобством и звучностью, но и способствовать эффективному функционированию ресурса. Оптимальнее всего задействовать наименование торговой марки, аббревиатуру, сокращения и, конечно, ключи. Так удастся сделать бренд и саму организацию узнаваемыми, благодаря высоким позициям в поисковой выдаче.