Eu tenho uma rede Windows Active Directory em uma LAN de endereços 192.168.10.0/24. Eu tenho outro site que tem endereços 192.168.11.0/24, onde todos os servidores AD estão no site 192.168.10.0/24 (eu sei, ruim!). Ambos os gateways usam firewalls Fortigate e estão conectados através de um túnel Fortinet IPsec para que máquinas de ambos os lados possam acessar umas às outras.
Acidentalmente, uma máquina foi configurada com IP estático 192.168.10.36 e foi enviada para o outro lado, onde não há equipe do departamento de TI disponível no local. Agora não podemos acessar a máquina devido ao endereçamento errado e as seguintes soluções não estão funcionando:
- Faça login como administrador local, pois está desabilitado.
- Faça login como administrador do AD, pois a máquina não pode acessar o servidor AD.
- Mude a tabela de roteamento, pois se mudarmos o endereço do firewall do outro lado para 192.168.10.X, ficaremos nocauteados.
Que outras opções temos? Estou à procura de:
- Uma maneira de alterar o endereço IP. Há um usuário de domínio em cache que consegue fazer login, mas não é administrador. Ou,
- Uma forma de restaurar a conectividade para que possamos fazer login e alterar o endereço IP, ou
- Qualquer outra solução que restaure o acesso à máquina.
EDIT: Só para esclarecer: por alguns motivos, não é possível enviar algo para outro site no momento...
Responder1
Presumo que sua caixa de problemas tenha estas configurações:
- IP = 192.168.10.36, gateway padrão = 192.168.10.1, DNS = 192.168.10.2 (caso contrário, ajuste os números abaixo).
Agora proceda da seguinte forma, usando duas caixas TEMPAD (com ip 192.168.11.100, digamos) e TEMPDNS (com 192.168.11.200, digamos):
- RDP para TEMPAD e instale a função AD no TEMPAD
- No TEMPAD defina uma rota estática para host(!) 192.168.10.36 via 192.168.11.200
- Na sua sessão RDP no TEMPAD, inicie uma sessão RDP no TEMPAD e instale o DNS no TEMPDNS. Deve servir sua zona AD; Não tenho certeza se deveria servir umaleijadoZona AD com todas as referências aos servidores AD 192.168.10.* removidas, veja as dicas abaixo.
- Adicione IPs secundários 192.168.10.1/24 e 192.168.10.2/24 em TEMPDNS e habilite o encaminhamento de IP.
- Peça a uma pessoa no site 192.168.11.* para ligar o computador com problema
- Quando a inicialização for concluída, inicie uma sessão RDP para 192.168.10.36 de dentro da sua sessão RDP para TEMPAD. Agora você pode fazer login como quem quiser.
Observação:A quarta etapa interrompe a conectividade do TEMPDNS para sua LAN 192.168.10.*, mas sua sessão remota ainda está funcionando porque, na verdade, é originada de TEMPAD na LAN 192.168.11.*
Na etapa 6, a seguinte mágica acontece (espero): A máquina solicita ao servidor DNS configurado 192.168.10.2 (ou seja, TEMPDNS) o endereço de um servidor AD. Ele recebe como resposta seus servidores AD originais em 192.168.10.* e 192.168.11.200 (ou seja, TEMPAD). As tentativas de conexão com os servidores AD 192.168.10.* falham, então, em última análise, 192.168.11.200 é tentado (como eu disse, pode ser melhor evitar as tentativas de conectar 192.168.10.* paralisando o DNS em TEMPDNS). A conexão com 192.168.11.200 foi bem-sucedida: Temos uma rota de avanço funcional 192.168.10.36 -> 192.168.10.1=TEMPDNS -> TEMPAD e rota reversa TEMPAD -> 192.168.10.200=TEMPAD -> 192.168.10.36.
Depois que todos os reparos forem concluídos, não se esqueça de desfazer toda a porcaria acima.
Responder2
Hmmm... lista ordenada da menor interação do usuário para a maior interação do usuário:
- Segmente o sistema em sua própria VLAN, roteie essa VLAN de volta para o segmento de LAN em bom estado (certifique-se de que não haja sobreposições no espaço IP!). Faça login, corrija os erros, redefina o switchport para a VLAN local, tente acessar novamente.
- Prepare um CD de inicialização que conceda acesso à área de trabalho remota e
ntpasswd
envie-o para o escritório remoto e peça a um usuário que o inicialize e use um bom endereço IP para o local. (pode haver problemas aqui, você terá que orientar o usuário nas etapas de configuração) - Obtenha outro disco rígido e laptop semelhantes, faça uma nova imagem, corrija seus erros, Fedex, faça com que os usuários troquem as unidades. (O usuário precisará poder trocar unidades e inicializar o computador).
Responder3
Você poderia enviar a eles uma caixa multihomed configurada como roteador padrão ou controlador de domínio para 192.168.10 e como uma máquina normal em 192.168.11? Talvez então você possa se conectar ao lado .11 e fazer proxy até .10. (Nem um especialista em AD - apenas pensando no caso geral). O .10 e a nova caixa poderiam ser conectados com um crossover, se necessário.
Responder4
Você tentou o modo de segurança e o seguinte comando: "net user administrador /active:yes". Certa vez, desabilitei a conta de administrador local e só tinha contas locais não administrativas no PC. Eu fiz aquele cmd e ativei. Além disso, você sempre pode contratar uma empresa de serviços de TI para enviar um técnico local para ajudar vocês.