アドレス 192.168.10.0/24 の LAN に Windows Active Directory ネットワークがあります。アドレス 192.168.11.0/24 の別のサイトがあり、すべての AD サーバーが 192.168.10.0/24 サイトにあります (悪いことだとはわかっていますが)。両方のゲートウェイは Fortigate ファイアウォールを使用し、Fortinet IPsec トンネルを介してリンクされているため、両側のマシンは互いにアクセスできます。
誤って、マシンが 192.168.10.36 の静的 IP で構成さ れ、IT 部門のスタッフがいない反対側に送信されました。アドレス指定が間違っているため、マシンにアクセスできなくなり、次の解決策も機能しません。
- 無効になっているため、ローカル管理者としてログインします。
- マシンは AD サーバーにアクセスできないため、AD 管理者としてログインします。
- ルーティング テーブルを変更します。反対側のファイアウォールのアドレスを 192.168.10.X に変更すると、アクセスできなくなります。
他にどのような選択肢がありますか? 私が探しているのは:
- IPアドレスを変更する方法。ログインできるキャッシュされたドメインユーザーがいますが、管理者ではありません。または、
- 接続を回復してログインし、IPアドレスを変更できるようにする方法、または
- マシンへのアクセスを復元するその他のソリューション。
編集: 明確にするために: 何らかの理由により、現時点では他のサイトへの発送はできません...
答え1
問題ボックスには次のような設定があると仮定します:
- IP = 192.168.10.36、デフォルト ゲートウェイ = 192.168.10.1、DNS = 192.168.10.2 (それ以外の場合は、以下の数字を適宜調整してください)。
ここで、2 つのボックス TEMPAD (IP が 192.168.11.100 だとします) と TEMPDNS (IP が 192.168.11.200 だとします) を使用して、次のように進めます。
- TEMPADにRDP接続し、TEMPADにADロールをインストールする
- TEMPADで、192.168.11.200経由でホスト(!)192.168.10.36への静的ルートを設定します。
- TEMPADのRDPセッション内から、TEMPADへのRDPセッションを開始し、TEMPDNSにDNSをインストールします。ADゾーンを提供する必要がありますが、代わりに不自由な192.168.10.* AD サーバーへのすべての参照が削除された AD ゾーン。以下のヒントを参照してください。
- TEMPDNS にセカンダリ IP 192.168.10.1/24 と 192.168.10.2/24 を追加し、IP 転送を有効にします。
- 192.168.11.*サイトの担当者に問題のコンピュータの電源を入れるように依頼する
- 起動が完了したら、TEMPAD への RDP セッション内から 192.168.10.36 への RDP セッションを開始します。これで、任意のユーザーとしてログインできます。
注記:4番目のステップでは、TEMPDNSから192.168.10.* LANへの接続が中断されますが、リモートセッションは実際には192.168.11.* LANのTEMPADから発信されているため、引き続き機能します。
ステップ 6 では、次の魔法が起こります (私はそう願っています)。マシンは、構成された DNS サーバー 192.168.10.2 (つまり、TEMPDNS) に AD サーバーのアドレスを要求します。応答として、192.168.10.* および 192.168.11.200 (つまり、TEMPAD) にある元の AD サーバーが返されます。192.168.10.* AD サーバーへの接続試行は失敗するため、最終的に 192.168.11.200 が試行されます (前述したように、TEMPDNS の DNS を無効にすることで 192.168.10.* への接続試行を回避する方がよい場合があります)。 192.168.11.200 への接続は成功します。転送ルート 192.168.10.36 -> 192.168.10.1=TEMPDNS -> TEMPAD と、逆方向ルート TEMPAD -> 192.168.10.200=TEMPAD -> 192.168.10.36 が機能しています。
すべての修復が完了したら、上記のすべての作業を元に戻すことを忘れないでください。
答え2
うーん... ユーザーの操作が最も少ないものから最も多いものの順に並べたリスト:
- システムを独自の VLAN に分割し、その VLAN を既知の正常な LAN セグメントにルーティングします (IP 空間に重複がないことを確認してください)。ログインして間違いを修正し、スイッチポートをローカル VLAN にリセットして、再度アクセスを試みます。
- リモート デスクトップ アクセスを許可するブート CD を準備し、
ntpasswd
それをリモート オフィスに郵送して、ユーザーに起動してもらい、その場所に適した IP アドレスを使用します。(ここで問題が発生する可能性があるため、ユーザーに構成手順を説明する必要があります) - 同様のハード ドライブとラップトップをもう 1 つ入手し、イメージを再作成し、間違いを修正して、ユーザーにドライブを交換してもらいます (ユーザーはドライブを交換してコンピューターを起動できる必要があります)。
答え3
192.168.10 のデフォルト ルーターまたはドメイン コントローラーとして、また 192.168.11 の通常のマシンとして構成されたマルチホーム ボックスを発送していただけますか? そうすれば、.11 側に接続して、.10 にプロキシすることができます。(AD の専門家ではありませんが、一般的なケースを考えているだけです。) 必要に応じて、.10 と新しいボックスをクロスオーバーで接続できます。
答え4
セーフ モードと次のコマンドを試しましたか: "net user administrator /active:yes"。私は以前、ローカル管理者アカウントを無効にし、PC に管理者以外のローカル アカウントだけを残しました。そのコマンドを実行して有効にしました。また、IT サービス会社を雇って、地元の技術者を派遣してもらい、皆さんを支援することも可能です。