我在位址為 192.168.10.0/24 的 LAN 中有一個 Windows Active Directory 網路。我有另一個站點,其位址為 192.168.11.0/24,其中所有 AD 伺服器都位於 192.168.10.0/24 站點中(我知道,糟糕!)。兩個網關都使用 Fortigate 防火牆,並透過 Fortinet IPsec 隧道鏈接,因此兩側的電腦可以相互存取。
不小心將一台機器配置為靜態 IP 192.168.10.36,並發送到另一端,而現場沒有 IT 部門人員。現在,由於位址錯誤,我們無法存取機器,且以下解決方案不起作用:
- 以本機管理員身分登入,因為它已被停用。
- 由於機器無法存取AD伺服器,請以AD管理員身分登入。
- 更改路由表,因為如果我們將對方防火牆的位址改為192.168.10.X,我們就會被淘汰。
我們還有什麼其他選擇?我在尋找:
- 一種更改IP位址的方法。有一個快取的網域使用者可以登錄,但不是管理員。或者,
- 一種恢復連線的方法,以便我們可以登入並更改 IP 位址,或者
- 恢復對電腦的存取的任何其他解決方案。
編輯:只是為了澄清:由於某些原因,現在不可能將某些內容運送到其他網站...
答案1
我假設您的問題框有以下設定:
- IP = 192.168.10.36,預設閘道 = 192.168.10.1,DNS = 192.168.10.2(否則請相應調整下面的數字)。
現在,使用兩個框 TEMPAD(例如,IP 為 192.168.11.100)和 TEMPDNS(例如,IP 為 192.168.11.200)進行如下操作:
- RDP 到 TEMPAD 並在 TEMPAD 上安裝 AD 角色
- 在 TEMPAD 上設定透過 192.168.11.200 到主機(!)192.168.10.36 的靜態路由
- 從 TEMPAD 上的 RDP 會話中,啟動到 TEMPAD 的 RDP 會話並在 TEMPDNS 上安裝 DNS。它應該為您的 AD 區域服務;我不確定它是否應該服務殘廢的AD 區域中所有對 192.168.10.* AD 伺服器的引用均已刪除,請參閱下方的提示。
- 在TEMPDNS上新增輔助IP 192.168.10.1/24和192.168.10.2/24並啟用IP轉送。
- 請 192.168.11.* 站點的人員開啟有問題的計算機
- 啟動完成後,從到 TEMPAD 的 RDP 會話中啟動到 192.168.10.36 的 RDP 會話。現在您可以以任何您想要的身份登入。
筆記:第四步會中斷從 TEMPDNS 到 192.168.10.* LAN 的連接,但您的遠端會話仍在工作,因為它實際上源自 192.168.11.* LAN 中的 TEMPAD
在步驟 6 中,以下奇蹟發生了(我希望如此):機器向其配置的 DNS 伺服器 192.168.10.2(即 TEMPDNS)詢問 AD 伺服器的位址。它會得到 192.168.10.* 和 192.168.11.200(即 TEMPAD)中的原始 AD 伺服器的回應。嘗試連接 192.168.10.* AD 伺服器失敗,因此最終嘗試連接 192.168.11.200(正如我所說,最好透過破壞 TEMPDNS 上的 DNS 來避免嘗試連接 192.168.10.*)。與 192.168.11.200 的連接成功:我們有一條有效的前向路由 192.168.10.36 -> 192.168.10.1=TEMPDNS -> TEMPAD 和後向路由 TEMPAD -> 192.168.10.200=TEMPAD -> 192.168.10.36。
一旦所有修復完成,不要忘記撤消上面所有的廢話。
答案2
嗯...列表從最少的用戶互動到最多的用戶互動排序:
- 將系統分段到它們自己的 VLAN 上,將該 VLAN 路由回已知良好的 LAN 網段(確保 IP 空間中沒有重疊!)。登入,修復錯誤,將交換器連接埠重設為本機VLAN,然後再次嘗試存取。
- 準備一張授予遠端桌面存取權限的啟動 CD
ntpasswd
,將其郵寄到遠端辦公室,讓使用者啟動它並使用該位置的良好 IP 位址。 (這裡可能會遇到問題,您必須引導使用者完成設定步驟) - 取得另一個類似的硬碟和筆記型電腦,重新映像,修正錯誤,聯邦快遞,讓使用者交換磁碟機。 (使用者需要能夠交換驅動器並啟動電腦)。
答案3
您能否向他們提供一個多宿主機,配置為 192.168.10 的預設路由器或網域控制器以及 192.168.11 上的常規計算機?也許您可以連接到 .11 端並代理到 .10。 (完全不是 AD 專家 - 只是考慮一般情況。)。如有必要,.10 和新盒子可以透過分頻器連接。
答案4
您是否嘗試過安全模式和以下命令:「net useradministrator /active:yes」。我曾經停用了本機管理員帳戶,電腦上只有非管理員本機帳戶。我執行了該命令並啟用了它。您也可以聘請 IT 服務公司派遣當地技術人員來協助您。