Active Directory 재구성 - 사용자 로그인

Active Directory 재구성 - 사용자 로그인

Windows 2008 활성 디렉터리에는 약 100명 이상의 사용자가 있습니다. 네트워크에는 활성 디렉터리 컨트롤러/서버가 하나만 있습니다. 서버 하드 드라이브가 충돌하고 동일한 이름으로 활성 디렉터리를 재구축하면 이미 인증된 사용자, 컴퓨터는 로그인할 수 없습니다.

도메인에서 컴퓨터를 제거하고 다시 가입하면 사용자는 새로 제거되고 가입된 컴퓨터에서 로그인할 수 있습니다.

사용자가 새로 재구축된 도메인에 컴퓨터를 다시 가입시키지 않고도 자신의 컴퓨터에서 로그인할 수 있도록 하려면 어떻게 해야 합니까? 사용자를 위한 새 비밀번호는 괜찮지만 모든 노드에 다시 참여하는 것은 어렵습니다. 모든 설정, 도메인 이름, IP 주소 등 모든 것이 동일합니다.

나는 내가 뭔가를 놓치고 있다는 것을 알고 있지만 인터넷에서 이에 대한 더 많은 정보를 찾을 수 없습니다. 어떤 도움/조언이라도 주시면 감사하겠습니다. 감사합니다.

답변1

도메인 이름은 중요하지 않습니다. 컴퓨터와 서버가 서로를 인증하기 위해 사용하는 배후의 암호화 비밀은 이들이 "동일한" 도메인에 있는지 여부를 정의합니다. 새 도메인을 만들면 해당 비밀이 모두 다릅니다. 그렇지 않으면 누군가가 자신의 서버를 네트워크에 연결하고 귀하의 서버인 것처럼 가장하여 귀하의 모든 것을 훔칠 수 있습니다.

당신이 잘못하고 있는 것은 도메인 컨트롤러를 하나만 실행하는 것입니다. 최소 2개의 도메인 컨트롤러를 실행해야 하지만 소규모 단일 사이트 네트워크의 경우 최적의 최소 개수는 3개입니다.

답변2

Todd Wilcox가 지적했듯이 클라이언트와 도메인 간의 관계는 도메인 이름이 아닌 SID와 GUID에 따라 달라지므로 다시 구축해야 합니다. 다른 사용자의 경우 jscott이 지적한 것처럼 시스템 상태 백업에서 재해 복구를 수행할 수 있는 기회가 아직 남아 있다면 대신 그렇게 하면 암호 재설정을 피할 수 있습니다.

원본 포스터: 이 링크에서 깨진 신뢰 관계에 대한 두 가지 솔루션을 시도해 볼 수 있습니다.http://implbits.com/active-directory/2012/04/13/dont-rejoin-to-fix.html

PowerShell 명령은 SID를 통해 도메인에 액세스할 수 있으므로 도움이 되지 않을 수 있습니다. 그런 다음 NETDOM 명령은 DC의 서버 이름으로 도메인에 액세스하므로 계속 작동할 수 있습니다. 각 컴퓨터로 이동하여 이러한 명령을 실행해야 할 수도 있지만 제대로 작동한다면 재부팅하여 도메인에 다시 가입하는 것보다 더 빠릅니다. 로컬 관리자 계정으로 컴퓨터에 액세스할 수 있는 경우 각 명령을 방문하는 대신 명령을 푸시할 수 있습니다.

관련 정보