Tengo alrededor de 100 usuarios en un directorio activo de Windows 2008. Sólo hay un controlador/servidor de directorio activo en la red. Si el disco duro del servidor falla y si reconstruyo el directorio activo con el mismo nombre, los usuarios ya autenticados y las computadoras no podrán iniciar sesión.
Si elimino la computadora del dominio y me vuelvo a unir, los usuarios podrán iniciar sesión desde esa computadora recién eliminada y unida.
¿Cómo me aseguro de que los usuarios puedan iniciar sesión desde su computadora sin volver a unir las computadoras al dominio recién reconstruido? Una nueva contraseña para los usuarios está bien, pero volver a unir todos los nodos es una molestia. Todas las configuraciones, los nombres de dominio, las direcciones IP, etc., todo es igual.
Sé que me falta algo, pero no pude encontrar más información al respecto en la red. Cualquier ayuda/consejo es muy apreciado. Gracias.
Respuesta1
El nombre del dominio no es importante. Los secretos criptográficos detrás de escena que las computadoras y los servidores utilizan para autenticarse entre sí son los que definen si están en el "mismo" dominio. Cuando creas un nuevo dominio, todos esos secretos son diferentes. De lo contrario, alguien podría simplemente conectar su propio servidor a la red y pretender ser su servidor y robar todas sus cosas.
Lo que estás haciendo mal es ejecutar solo un controlador de dominio. Debería ejecutar un mínimo de 2 controladores de dominio, pero 3 es el mínimo óptimo para una red pequeña de un solo sitio.
Respuesta2
Como ha señalado Todd Wilcox, las relaciones entre los clientes y el dominio dependen de los SID y GUID, no del nombre de dominio, por lo que tendrá que reconstruir. Para otros usuarios, si todavía tienen la oportunidad de realizar una recuperación ante desastres desde una copia de seguridad del estado del sistema, como señaló jscott, háganlo y podrán evitar restablecer las contraseñas.
Póster original: puede probar las dos soluciones para relaciones de confianza rotas en este enlacehttp://implbits.com/active-directory/2012/04/13/dont-rejoin-to-fix.html
El comando de PowerShell puede acceder al dominio mediante SID, por lo que puede que no sea útil. Luego, el comando NETDOM accede al dominio mediante el nombre del servidor del DC, por lo que aún podría funcionar. Probablemente aún tendrá que ir a cada computadora y ejecutar estos comandos, pero si funcionan, será más rápido que reiniciar para volver a unirse al dominio. Si tiene acceso a las máquinas con una cuenta de administrador local, es posible que pueda enviar los comandos en lugar de visitar cada una.