Reconstrução do Active Directory - Login do usuário

Reconstrução do Active Directory - Login do usuário

Tenho cerca de 100 usuários em um diretório ativo do Windows 2008. Existe apenas um controlador/servidor de diretório ativo na rede. Se o disco rígido do servidor travar e se eu reconstruir o diretório ativo com o mesmo nome, os usuários já autenticados, os computadores não conseguirão fazer login.

Se eu remover o computador do domínio e ingressar novamente, os usuários poderão fazer login a partir desse computador recém-removido e ingressado.

Como posso ter certeza de que os usuários poderão fazer login em seus computadores sem reingressar os computadores no domínio recém-reconstruído. Uma nova senha para os usuários é adequada, mas reunir todos os nós é uma dor. Todas as configurações, os nomes de domínio, os endereços IP, etc. - tudo é igual.

Eu sei que estou faltando alguma coisa, mas não consegui encontrar mais informações sobre isso na rede. Qualquer ajuda/aconselhamento é muito apreciada. Obrigado.

Responder1

O nome do domínio não é importante. Os segredos criptográficos nos bastidores que os computadores e servidores usam para autenticar uns aos outros são o que define se eles estão no “mesmo” domínio. Quando você cria um novo domínio, todos esses segredos são diferentes. Caso contrário, alguém poderia simplesmente conectar seu próprio servidor à rede e fingir ser seu servidor e roubar todas as suas coisas.

O que você está fazendo de errado é executar apenas um controlador de domínio. Você deve executar no mínimo 2 controladores de domínio, mas 3 é o mínimo ideal para uma rede pequena e de site único.

Responder2

Como Todd Wilcox apontou, os relacionamentos entre os clientes e o domínio dependem dos SIDs e GUIDs, não do nome do domínio, portanto, você terá que reconstruir. Para outros usuários, se você ainda tiver a oportunidade de fazer a recuperação de desastres a partir de um backup do estado do sistema, como jscott apontou, faça isso e poderá evitar a redefinição de senhas.

Pôster original: Você pode tentar as duas soluções para relacionamentos de confiança quebrados neste linkhttp://implbits.com/active-directory/2012/04/13/dont-rejoin-to-fix.html

O comando do PowerShell pode acessar o domínio por SID, portanto, pode não ser útil. Então o comando NETDOM acessa o domínio pelo nome do servidor do DC, então ainda pode funcionar. Você provavelmente ainda terá que ir a cada computador e executar esses comandos, mas se funcionarem, será mais rápido do que reinicializar para ingressar novamente no domínio. Se você tiver acesso às máquinas com uma conta de administrador local, poderá enviar os comandos em vez de visitar cada uma delas.

informação relacionada