我在 LAN 中有一个 Windows Active Directory 网络,地址为 192.168.10.0/24。我还有另一个站点,地址为 192.168.11.0/24,其中所有 AD 服务器都位于 192.168.10.0/24 站点中(我知道,这很糟糕!)。两个网关都使用 Fortigate 防火墙,并通过 Fortinet IPsec 隧道连接,因此两侧的机器可以相互访问。
一台机器意外地配置了静态 IP 192.168.10.36,并被发送到另一边,而那里没有 IT 部门的工作人员在现场。现在我们无法访问该机器,因为地址错误,以下解决方案不起作用:
- 以本地管理员身份登录,因为它已被禁用。
- 以 AD 管理员身份登录,因为机器无法访问 AD 服务器。
- 更改路由表,因为如果我们将对方防火墙的地址更改为192.168.10.X,我们就会被淘汰。
我们还有什么其他选择?我正在寻找:
- 更改 IP 地址的方法。缓存的域用户可以登录,但不是管理员。或者,
- 恢复连接的方法,以便我们可以登录并更改 IP 地址,或者
- 任何其他恢复机器访问的解决方案。
编辑:只是为了澄清:由于某些原因,目前无法将某些东西运送到其他站点......
答案1
我假设你的问题框有以下设置:
- IP = 192.168.10.36,默认网关 = 192.168.10.1,DNS = 192.168.10.2(否则请相应地调整下面的数字)。
现在按如下方式进行,使用两个盒子 TEMPAD(例如,ip 为 192.168.11.100)和 TEMPDNS(例如,ip 为 192.168.11.200):
- 通过 RDP 连接到 TEMPAD 并在 TEMPAD 上安装 AD 角色
- 在 TEMPAD 上,通过 192.168.11.200 设置到主机 (!) 192.168.10.36 的静态路由
- 从 TEMPAD 上的 RDP 会话中,启动到 TEMPAD 的 RDP 会话并在 TEMPDNS 上安装 DNS。它应该为您的 AD 区域提供服务;我不确定它是否应该为残废AD 区域已删除所有对 192.168.10.* AD 服务器的引用,请参阅下面的提示。
- 在 TEMPDNS 上添加辅助 IP 192.168.10.1/24 和 192.168.10.2/24,并启用 IP 转发。
- 让 192.168.11.* 站点的人员打开有问题的计算机
- 启动完成后,从与 TEMPAD 的 RDP 会话中启动与 192.168.10.36 的 RDP 会话。现在您可以以任何身份登录。
笔记:第四步中断从 TEMPDNS 到您的 192.168.10.* LAN 的连接,但您的远程会话仍在运行,因为它实际上源自 192.168.11.* LAN 中的 TEMPAD
在第 6 步中,以下神奇的事情发生了(我希望):机器向其配置的 DNS 服务器 192.168.10.2(即 TEMPDNS)询问 AD 服务器的地址。它得到的答复是 192.168.10.* 和 192.168.11.200(即 TEMPAD)中的原始 AD 服务器。尝试连接 192.168.10.* AD 服务器失败,因此最终尝试 192.168.11.200(正如我所说,通过破坏 TEMPDNS 上的 DNS 来避免尝试连接 192.168.10.* 可能会更好)。与 192.168.11.200 的连接成功:我们有一个有效的正向路由 192.168.10.36 -> 192.168.10.1=TEMPDNS -> TEMPAD 和反向路由 TEMPAD -> 192.168.10.200=TEMPAD -> 192.168.10.36。
一旦所有修复完成,不要忘记撤消上述所有内容。
答案2
嗯...列表按用户交互最少到用户交互最多的顺序排列:
- 将系统划分到自己的 VLAN 上,将该 VLAN 路由回已知良好的 LAN 段(确保 IP 空间没有重叠!)。登录、修复错误、将交换机端口重置为本地 VLAN,然后尝试再次访问。
- 准备一张允许远程桌面访问的启动 CD,
ntpasswd
并将其邮寄到远程办公室,让用户启动它并使用该位置的良好 IP 地址。(这里可能会遇到问题,您必须引导用户完成配置步骤) - 获得另一个类似的硬盘和笔记本电脑,重新映像,纠正错误,Fedex,让用户交换驱动器。(用户需要能够交换驱动器并启动计算机)。
答案3
您能否向他们发送一个多宿主机箱,将其配置为 192.168.10 的默认路由器或域控制器,并配置为 192.168.11 上的常规机器?也许这样您就可以连接到 .11 端并代理到 .10。(我根本不是 AD 专家 - 只是考虑一般情况。)如果需要,可以使用交叉线连接 .10 和新机箱。
答案4
您是否尝试过安全模式和以下命令:“net user Administrator /active:yes”。我曾经禁用过本地管理员帐户,PC 上只有非管理员本地帐户。我执行了该命令并将其启用。此外,您还可以随时聘请 IT 服务公司派出本地技术人员来帮助你们。