Ich habe über 100 Benutzer in einem Windows 2008 Active Directory. Es gibt nur einen Active Directory-Controller/-Server im Netzwerk. Wenn die Festplatte des Servers abstürzt und ich das Active Directory mit demselben Namen neu aufbaue, können sich die bereits authentifizierten Benutzer und Computer nicht anmelden.
Wenn ich den Computer aus der Domäne entferne und wieder beitrete, können sich die Benutzer von dem neu entfernten und wieder beigetretenen Computer aus anmelden.
Wie stelle ich sicher, dass sich Benutzer von ihrem Computer aus anmelden können, ohne die Computer erneut der neu erstellten Domäne beitreten zu müssen? Ein neues Passwort für die Benutzer ist in Ordnung, aber das erneute Beitreten aller Knoten ist mühsam. Alle Einstellungen, die Domänennamen, die IP-Adressen usw. – alles ist gleich.
Ich weiß, dass ich etwas übersehe, konnte im Internet aber keine weiteren Informationen dazu finden. Für jede Hilfe/jeden Ratschlag bin ich sehr dankbar. Vielen Dank.
Antwort1
Der Name der Domäne ist nicht wichtig. Die kryptografischen Geheimnisse im Hintergrund, die die Computer und Server zur gegenseitigen Authentifizierung verwenden, bestimmen, ob sie sich in derselben Domäne befinden. Wenn Sie eine neue Domäne erstellen, sind alle diese Geheimnisse unterschiedlich. Andernfalls könnte jemand einfach seinen eigenen Server an das Netzwerk anschließen, sich als Ihr Server ausgeben und all Ihre Sachen stehlen.
Was Sie falsch machen, ist, nur einen Domänencontroller auszuführen. Sie sollten mindestens 2 Domänencontroller ausführen, aber 3 sind das optimale Minimum für ein kleines Netzwerk mit einem Standort.
Antwort2
Wie Todd Wilcox betont hat, hängen die Beziehungen zwischen den Clients und der Domäne von den SIDs und GUIDs ab, nicht vom Domänennamen. Sie müssen also einen Neuaufbau durchführen. Für andere Benutzer gilt: Wenn Sie noch die Möglichkeit haben, eine Notfallwiederherstellung aus einer Systemstatussicherung durchzuführen, wie jscott betonte, tun Sie dies stattdessen und Sie können das Zurücksetzen von Kennwörtern vermeiden.
Originalautor: Sie können die beiden Lösungen für unterbrochene Vertrauensbeziehungen unter diesem Link ausprobieren.http://implbits.com/active-directory/2012/04/13/dont-rejoin-to-fix.html
Der PowerShell-Befehl greift möglicherweise über die SID auf die Domäne zu, daher ist er möglicherweise nicht hilfreich. Der NETDOM-Befehl greift über den Servernamen des DC auf die Domäne zu, daher funktioniert er möglicherweise trotzdem. Sie müssen wahrscheinlich trotzdem zu jedem Computer gehen und diese Befehle ausführen, aber wenn sie funktionieren, ist es schneller, als die Neustarts durchzuführen, um der Domäne wieder beizutreten. Wenn Sie mit einem lokalen Administratorkonto auf die Computer zugreifen können, können Sie die Befehle möglicherweise ausführen, anstatt jeden einzelnen aufzurufen.