我在 Windows 2008 活動目錄中有大約 100 多個使用者。網路中只有一台活動目錄控制器/伺服器。如果伺服器硬碟崩潰,並且如果我重建同名的活動目錄,則已經經過驗證的使用者、電腦將無法登入。
如果我從網域中刪除電腦並重新加入,使用者將能夠從新刪除並加入的電腦登入。
如何確保使用者能夠從其電腦登錄,而無需將電腦重新加入新重建的網域。使用者的新密碼很好,但重新加入所有節點卻很痛苦。所有設定、網域名稱、IP 位址等 - 一切都是一樣的。
我知道我錯過了一些東西,但無法在網上找到更多相關資訊。非常感謝任何幫助/建議。謝謝。
答案1
域名的名稱並不重要。電腦和伺服器用於相互驗證的幕後加密秘密定義了它們是否位於「同一」網域中。當您建立新網域時,所有這些秘密都是不同的。否則,有人可以將自己的伺服器插入網路並冒充您的伺服器並竊取您的所有內容。
您做錯的事情是只執行一個網域控制器。您應該至少運行 2 個網域控制器,但對於小型單站點網路來說,最少 3 個是最佳的。
答案2
正如 Todd Wilcox 所指出的,客戶端和網域之間的關係取決於 SID 和 GUID,而不是域名,因此您必須進行重建。對於其他用戶,如果您仍然有機會從系統狀態備份進行災難恢復,正如 jscott 所指出的那樣,那麼就這樣做,這樣您就可以避免重置密碼。
原始海報:您可以在此連結嘗試兩種解決信任關係破裂的解決方案http://implbits.com/active-directory/2012/04/13/dont-rejoin-to-fix.html
PowerShell 命令可能會透過 SID 存取網域,因此它可能沒有幫助。然後 NETDOM 命令透過 DC 的伺服器名稱存取網域,因此它可能仍然有效。您可能仍然需要轉到每台電腦並執行這些命令,但如果它們有效,那麼它會比重新啟動以重新加入網域更快。如果您可以使用本機管理員帳戶存取計算機,則可能可以推送命令,而不必存取每台計算機。