У меня около 100+ пользователей в активном каталоге Windows 2008. В сети есть только один контроллер/сервер активного каталога. Если жесткий диск сервера вышел из строя, и если я перестрою активный каталог с тем же именем, уже аутентифицированные пользователи, компьютеры не смогут войти в систему.
Если я удалю компьютер из домена и снова присоединюсь, пользователи смогут войти в систему с этого только что удаленного и присоединенного компьютера.
Как мне убедиться, что пользователи смогут войти со своего компьютера без повторного присоединения компьютеров к недавно перестроенному домену. Новый пароль для пользователей подойдет, но повторное присоединение всех узлов — это больно. Все настройки, доменные имена, IP-адреса и т. д. — все то же самое.
Я знаю, что я что-то упускаю, но не смог найти больше информации об этом в сети. Любая помощь/совет будут очень ценны. Спасибо.
решение1
Имя домена не имеет значения. Криптографические секреты за кулисами, которые компьютеры и серверы используют для аутентификации друг друга, определяют, находятся ли они в «одном» домене. Когда вы создаете новый домен, все эти секреты отличаются. В противном случае кто-то может просто подключить свой сервер к сети, выдать себя за ваш сервер и украсть все ваши данные.
То, что вы делаете неправильно, это запуск только одного контроллера домена. Вам следует запустить минимум 2 контроллера домена, но 3 — это оптимальный минимум для небольшой односайтовой сети.
решение2
Как указал Тодд Уилкокс, отношения между клиентами и доменом зависят от SID и GUID, а не от имени домена, поэтому вам придется выполнить перестроение. Для других пользователей, если у вас все еще есть возможность выполнить аварийное восстановление из резервной копии состояния системы, как указал jscott, сделайте это вместо этого, и вы сможете избежать сброса паролей.
Оригинальный пост: Вы можете попробовать два решения для сломанных доверительных отношений по этой ссылкеhttp://implbits.com/active-directory/2012/04/13/dont-rejoin-to-fix.html
Команда PowerShell может получить доступ к домену по SID, поэтому она может быть бесполезной. Затем команда NETDOM получает доступ к домену по имени сервера DC, поэтому она все равно может работать. Вам, вероятно, все равно придется зайти на каждый компьютер и выполнить эти команды, но если они сработают, это будет быстрее, чем выполнять перезагрузки для повторного присоединения к домену. Если у вас есть доступ к машинам с учетной записью локального администратора, вы можете выдвинуть команды вместо того, чтобы посещать каждую из них.