¿Cómo acceder a una máquina con una dirección de red incorrecta?

tag-icon tag-icon windows active-directory local-area-network connection
¿Cómo acceder a una máquina con una dirección de red incorrecta?

Tengo una red Windows Active Directory en una LAN de direcciones 192.168.10.0/24. Tengo otro sitio que tiene direcciones 192.168.11.0/24, donde todos los servidores AD están en el sitio 192.168.10.0/24 (lo sé, ¡mal!). Ambas puertas de enlace utilizan firewalls Fortigate y están vinculadas a través de un túnel IPsec de Fortinet para que las máquinas de ambos lados puedan acceder entre sí.

Accidentalmente se configuró una máquina con una IP estática de 192.168.10.36 y se envió al otro lado, donde no hay personal del departamento de TI disponible en el sitio. Ahora no podemos acceder a la máquina debido a una dirección incorrecta y las siguientes soluciones no funcionan:

  • Inicie sesión como administrador local, porque está deshabilitado.
  • Inicie sesión como administrador de AD, porque la máquina no puede acceder al servidor de AD.
  • Cambie la tabla de enrutamiento, porque si cambiamos la dirección del firewall del otro lado a 192.168.10.X, quedaremos eliminados.

¿Qué otras opciones tenemos? Busco:

  • Una forma de cambiar la dirección IP. Hay un usuario de dominio en caché que puede iniciar sesión, pero no es administrador. O,
  • Una forma de restaurar la conectividad para que podamos iniciar sesión y cambiar la dirección IP, o
  • Cualquier otra solución que restablezca el acceso a la máquina.

EDITAR: Sólo para aclarar: por algunas razones, enviar algo al otro sitio no es posible en este momento...

Respuesta1

Asumiré que su cuadro de problemas tiene estas configuraciones:

  • IP = 192.168.10.36, puerta de enlace predeterminada = 192.168.10.1, DNS = 192.168.10.2 (de lo contrario, ajuste los números en consecuencia a continuación).

Ahora proceda de la siguiente manera, usando dos casillas TEMPAD (con ip 192.168.11.100, digamos) y TEMPDNS (con 192.168.11.200, digamos):

  1. RDP a TEMPAD e instalar la función AD en TEMPAD
  2. En TEMPAD, establezca una ruta estática al host (!) 192.168.10.36 a través de 192.168.11.200
  3. Desde su sesión RDP en TEMPAD, inicie una sesión RDP en TEMPAD e instale DNS en TEMPDNS. Debería servir a su zona AD; No estoy seguro si debería servir comolisiadoZona AD con todas las referencias a los servidores AD 192.168.10.* eliminadas; consulte las sugerencias a continuación.
  4. Agregue las IP secundarias 192.168.10.1/24 y 192.168.10.2/24 en TEMPDNS y habilite el reenvío de IP.
  5. Pídale a una persona en el sitio 192.168.11.* que encienda la computadora con problemas
  6. Cuando se haya completado el arranque, inicie una sesión RDP en 192.168.10.36 desde su sesión RDP en TEMPAD. Ahora puedes iniciar sesión como quien quieras.

Nota:El cuarto paso interrumpe la conectividad de TEMPDNS a su LAN 192.168.10.*, pero su sesión remota aún funciona porque en realidad se origina desde TEMPAD en la LAN 192.168.11.*

En el paso 6 ocurre la siguiente magia (espero): La máquina solicita a su servidor DNS configurado 192.168.10.2 (es decir, TEMPDNS) la dirección de un servidor AD. Recibe como respuesta sus servidores AD originales en 192.168.10.* y 192.168.11.200 (es decir, TEMPAD). Los intentos de conexión a los servidores AD 192.168.10.* fallan, por lo que finalmente se intenta con 192.168.11.200 (como dije, puede ser mejor evitar los intentos de conectar 192.168.10.* inutilizando el DNS en TEMPDNS). La conexión a 192.168.11.200 se realiza correctamente: tenemos una ruta hacia adelante 192.168.10.36 -> 192.168.10.1=TEMPDNS -> TEMPAD y una ruta hacia atrás TEMPAD -> 192.168.10.200=TEMPAD -> 192.168.10.36.

Una vez que se hayan completado todas las reparaciones, no olvides deshacer todo lo anterior.

Respuesta2

Hmmm... lista ordenada desde la menor interacción del usuario hasta la mayor interacción del usuario:

  1. Segmente el sistema en su propia VLAN, enrute esa VLAN de regreso al segmento de LAN en buen estado (¡asegúrese de que no haya superposiciones en el espacio IP!). Inicie sesión, corrija los errores, restablezca el puerto del conmutador a la VLAN local, intente acceder nuevamente.
  2. Prepare un CD de inicio que otorgue acceso al escritorio remoto y ntpasswdenvíelo por correo a la oficina remota y haga que un usuario lo inicie y use una buena dirección IP para la ubicación. (Puede haber problemas aquí, tendrás que guiar al usuario a través de los pasos de configuración)
  3. Obtenga otro disco duro y una computadora portátil similares, vuelva a crear una imagen, corrija sus errores, Fedex, haga que los usuarios intercambien las unidades. (El usuario deberá poder intercambiar unidades e iniciar la computadora).

Respuesta3

¿Podría enviarles una caja multitarjeta configurada como enrutador o controlador de dominio predeterminado para 192.168.10 y como una máquina normal en 192.168.11? Tal vez entonces podrías conectarte al lado .11 y hacer proxy hasta .10. (Para nada un experto en AD, solo pienso en el caso general). El .10 y la nueva caja podrían conectarse con un crossover si fuera necesario.

Respuesta4

¿Probaste el modo seguro y el siguiente comando: "administrador de usuarios de red /active:yes"? Una vez desactivé la cuenta de administrador local y solo tenía cuentas locales que no eran de administrador en la PC. Hice ese cmd y lo habilité. Además, siempre puede contratar una empresa de servicios de TI para que envíe un técnico local para ayudarlos.

información relacionada