我在 Windows 2008 活动目录中有大约 100 多个用户。网络中只有一个活动目录控制器/服务器。如果服务器硬盘驱动器崩溃,并且我重建具有相同名称的活动目录,则已经通过身份验证的用户和计算机将无法登录。
如果我从域中删除计算机并重新加入,则用户将能够从新删除和加入的计算机登录。
如何确保用户能够从他们的计算机登录,而无需将计算机重新加入新重建的域。为用户设置新密码是可以的,但重新加入所有节点很麻烦。所有设置、域名、IP 地址等 - 一切都相同。
我知道我遗漏了一些东西,但在网上找不到更多相关信息。任何帮助/建议都非常感谢。谢谢。
答案1
域名并不重要。计算机和服务器用来相互验证的幕后加密秘密才是决定它们是否在“同一”域中的关键。当您创建新域时,所有这些秘密都是不同的。否则,有人只需将自己的服务器插入网络并假装是您的服务器并窃取您的所有内容。
您做错的是只运行一个域控制器。您应该至少运行 2 个域控制器,但对于小型单站点网络来说,3 个是最佳的最低限度。
答案2
正如 Todd Wilcox 所指出的,客户端和域之间的关系取决于 SID 和 GUID,而不是域名,因此您必须进行重建。对于其他用户,如果您仍然有机会从系统状态备份中进行灾难恢复,正如 jscott 所指出的,请改为这样做,这样您就可以避免重置密码。
原文作者:您可以通过此链接尝试解决信任关系破裂的两种解决方案http://implbits.com/active-directory/2012/04/13/dont-rejoin-to-fix.html
PowerShell 命令可以通过 SID 访问域,因此可能没什么用。然后 NETDOM 命令通过 DC 的服务器名称访问域,因此它可能仍然有效。您可能仍需要转到每台计算机并运行这些命令,但如果它们有效,它将比重新启动以重新加入域更快。如果您可以使用本地管理员帐户访问计算机,您可能能够推送命令,而不是访问每台计算机。