Wie greife ich auf einen Computer mit einer falschen Netzwerkadresse zu?

tag-icon tag-icon windows active-directory local-area-network connection
Wie greife ich auf einen Computer mit einer falschen Netzwerkadresse zu?

Ich habe ein Windows Active Directory-Netzwerk in einem LAN mit den Adressen 192.168.10.0/24. Ich habe eine andere Site mit den Adressen 192.168.11.0/24, wobei sich alle AD-Server auf der Site 192.168.10.0/24 befinden (ich weiß, schlecht!). Beide Gateways verwenden Fortigate-Firewalls und sind über einen Fortinet IPsec-Tunnel verbunden, sodass Maschinen auf beiden Seiten aufeinander zugreifen können.

Aus Versehen wurde eine Maschine mit der statischen IP-Adresse 192.168.10.36 konfiguriert und an die Gegenstelle geschickt, wo kein IT-Mitarbeiter vor Ort ist. Jetzt können wir aufgrund der falschen Adressierung nicht mehr auf die Maschine zugreifen und die folgenden Lösungen funktionieren nicht:

  • Melden Sie sich als lokaler Administrator an, da dies deaktiviert ist.
  • Melden Sie sich als AD-Administrator an, da die Maschine nicht auf den AD-Server zugreifen kann.
  • Ändern Sie die Routing-Tabelle, denn wenn wir die Adresse der Firewall der anderen Seite auf 192.168.10.X ändern, sind wir raus.

Welche anderen Möglichkeiten haben wir? Ich suche:

  • Eine Möglichkeit, die IP-Adresse zu ändern. Es gibt einen zwischengespeicherten Domänenbenutzer, der sich anmelden kann, aber kein Administrator ist. Oder,
  • Eine Möglichkeit, die Verbindung wiederherzustellen, damit wir uns anmelden und die IP-Adresse ändern können, oder
  • Jede andere Lösung, die den Zugriff auf die Maschine wiederherstellt.

EDIT: Nur zur Klarstellung: Aus irgendwelchen Gründen ist der Versand an die andere Site derzeit nicht möglich ...

Antwort1

Ich gehe davon aus, dass Ihre Problembox diese Einstellungen hat:

  • IP = 192.168.10.36, Standard-Gateway = 192.168.10.1, DNS = 192.168.10.2 (ansonsten die Zahlen unten entsprechend anpassen).

Gehen Sie nun wie folgt vor und verwenden Sie zwei Boxen: TEMPAD (mit der IP-Adresse beispielsweise 192.168.11.100) und TEMPDNS (mit der IP-Adresse beispielsweise 192.168.11.200):

  1. RDP zu TEMPAD und Installation der AD-Rolle auf TEMPAD
  2. Legen Sie auf TEMPAD eine statische Route zum Host(!) 192.168.10.36 über 192.168.11.200 fest
  3. Starten Sie innerhalb Ihrer RDP-Sitzung auf TEMPAD eine RDP-Sitzung zu TEMPAD und installieren Sie DNS auf TEMPDNS. Es sollte Ihre AD-Zone bedienen; ich bin mir nicht sicher, ob es eher eineverkrüppeltAD-Zone mit allen Verweisen auf die 192.168.10.* AD-Server entfernt, siehe Hinweise unten.
  4. Fügen Sie die sekundären IPs 192.168.10.1/24 und 192.168.10.2/24 auf TEMPDNS hinzu und aktivieren Sie die IP-Weiterleitung.
  5. Bitten Sie eine Person am Standort 192.168.11.*, den Problemcomputer einzuschalten
  6. Wenn der Startvorgang abgeschlossen ist, starten Sie innerhalb Ihrer RDP-Sitzung mit TEMPAD eine RDP-Sitzung mit 192.168.10.36. Sie können sich jetzt als beliebiger Benutzer anmelden.

Notiz:Der vierte Schritt unterbricht die Verbindung von TEMPDNS zu Ihrem 192.168.10.* LAN, aber Ihre Remote-Sitzung funktioniert weiterhin, da sie tatsächlich von TEMPAD im 192.168.11.* LAN ausgeht.

In Schritt 6 geschieht folgende Magie (hoffe ich): Die Maschine fragt ihren konfigurierten DNS-Server 192.168.10.2 (also TEMPDNS) nach der Adresse eines AD-Servers. Als Antwort erhält sie Ihre ursprünglichen AD-Server in 192.168.10.* und 192.168.11.200 (also TEMPAD). Verbindungsversuche zu den AD-Servern 192.168.10.* schlagen fehl, also wird letztendlich 192.168.11.200 versucht (wie gesagt, es ist vielleicht besser, die Verbindungsversuche zu 192.168.10.* zu vermeiden, indem man den DNS auf TEMPDNS lahmlegt). Die Verbindung zu 192.168.11.200 ist erfolgreich: Wir haben eine funktionierende Vorwärtsroute 192.168.10.36 -> 192.168.10.1=TEMPDNS -> TEMPAD und eine Rückwärtsroute TEMPAD -> 192.168.10.200=TEMPAD -> 192.168.10.36.

Vergessen Sie nicht, den ganzen oben genannten Mist wieder rückgängig zu machen, sobald alle Reparaturen abgeschlossen sind.

Antwort2

Hmmm ... Liste sortiert von der geringsten bis zur größten Benutzerinteraktion:

  1. Segmentieren Sie das System in ein eigenes VLAN, leiten Sie dieses VLAN zurück zum bekanntermaßen funktionierenden LAN-Segment (stellen Sie sicher, dass es keine Überschneidungen im IP-Bereich gibt!). Melden Sie sich an, beheben Sie die Fehler, setzen Sie den Switchport auf das lokale VLAN zurück und versuchen Sie erneut, darauf zuzugreifen.
  2. Bereiten Sie eine Boot-CD vor, die Remote-Desktop-Zugriff gewährt, und ntpasswdschicken Sie sie per E-Mail an das Remote-Büro. Lassen Sie sie von einem Benutzer booten und eine gültige IP-Adresse für den Standort verwenden. (Hier können Probleme auftreten, Sie müssen den Benutzer durch die Konfigurationsschritte führen.)
  3. Besorgen Sie sich eine andere, ähnliche Festplatte und einen anderen Laptop, führen Sie ein neues Image durch, korrigieren Sie Ihre Fehler, senden Sie Fedex und lassen Sie die Benutzer die Laufwerke austauschen. (Der Benutzer muss in der Lage sein, die Laufwerke auszutauschen und den Computer zu booten.)

Antwort3

Könnten Sie ihnen eine Multihomed-Box schicken, die als Standardrouter oder Domänencontroller für 192.168.10 und als normale Maschine für 192.168.11 konfiguriert ist? Vielleicht könnten Sie dann eine Verbindung zur .11-Seite herstellen und einen Proxy zu .10 einrichten. (Ich bin überhaupt kein AD-Experte, denke nur an den allgemeinen Fall.) Die .10 und die neue Box könnten bei Bedarf mit einem Crossover verbunden werden.

Antwort4

Haben Sie den abgesicherten Modus und den folgenden Befehl ausprobiert: „net user administrator /active:yes“. Ich habe einmal das lokale Administratorkonto deaktiviert und hatte nur lokale Konten ohne Administratorrechte auf dem PC. Ich habe diesen Befehl ausgeführt und es aktiviert. Sie können auch immer ein IT-Dienstleistungsunternehmen beauftragen, einen lokalen Techniker zu Ihnen zu schicken, der Ihnen hilft.

verwandte Informationen