Active Directory の再構築 - ユーザー ログイン

Active Directory の再構築 - ユーザー ログイン

Windows 2008 のアクティブ ディレクトリには約 100 人以上のユーザーがいます。ネットワークにはアクティブ ディレクトリ コントローラ/サーバーが 1 つだけあります。サーバーのハード ドライブがクラッシュし、同じ名前でアクティブ ディレクトリを再構築すると、既に認証されているユーザーやコンピューターはログインできなくなります。

コンピューターをドメインから削除して再度参加させると、ユーザーは新しく削除して参加させたコンピューターからログインできるようになります。

新しく再構築されたドメインにコンピューターを再参加させずに、ユーザーが自分のコンピューターからログインできるようにするにはどうすればよいでしょうか。ユーザーの新しいパスワードは問題ありませんが、すべてのノードを再参加させるのは面倒です。すべての設定、ドメイン名、IP アドレスなど、すべてが同じです。

何かが足りないのは分かっていますが、ネット上でこれに関する詳しい情報を見つけることができませんでした。どんな助けやアドバイスでも大歓迎です。ありがとうございます。

答え1

ドメイン名は重要ではありません。コンピュータとサーバーが相互認証するために使用する舞台裏の暗号化の秘密が、それらが「同じ」ドメインにあるかどうかを定義します。新しいドメインを作成すると、それらの秘密はすべて異なります。そうしないと、誰かが自分のサーバーをネットワークに接続して、あなたのサーバーになりすまし、あなたのものをすべて盗む可能性があります。

間違っているのは、ドメイン コントローラーを 1 つだけ実行していることです。最低でも 2 つのドメイン コントローラーを実行する必要がありますが、小規模な単一サイト ネットワークの場合は 3 つが最適な最小値です。

答え2

Todd Wilcox が指摘したように、クライアントとドメインの関係はドメイン名ではなく SID と GUID に依存するため、再構築が必要になります。他のユーザーの場合、jscott が指摘したように、システム状態バックアップから災害復旧を行う機会がまだある場合は、代わりにそれを行うと、パスワードのリセットを回避できます。

元の投稿者: 信頼関係が壊れてしまった場合の 2 つの解決策をこのリンクで試してみるとよいかもしれません。http://implbits.com/active-directory/2012/04/13/dont-rejoin-to-fix.html

PowerShell コマンドは SID でドメインにアクセスする可能性があるため、役に立たない可能性があります。NETDOM コマンドは DC のサーバー名でドメインにアクセスするため、まだ機能する可能性があります。おそらく、各コンピューターに移動してこれらのコマンドを実行する必要がありますが、機能する場合は、ドメインに再参加するために再起動するよりも高速になります。ローカル管理者アカウントでマシンにアクセスできる場合は、各マシンにアクセスする代わりに、コマンドをプッシュできる可能性があります。

関連情報