重建信任关系

Question 1

您遇到的问题与 IP 无关，这是因为您有 2 台同名的机器。对于一个机器名，您只能有一个 AD 计算机对象，并且该计算机对象有一个密码，该密码是在您将计算机加入域时由 DC 和计算机协商确定的，它不是您输入的，而是由域配置的。

当您将这台机器换成另一台同名的机器时，就会出现这个问题。这台新机器不知道已协商的密码，DC 不会信任它。

有几种方法可以解决此问题。一种方法是从域中删除计算机并重新加入，这将重新创建信任。另一种方法是运行以下命令之一：

电源外壳

Reset-ComputerMachinePassword -Server <Name of any domain controller> -Credential <domain admin account>

命令行

NETDOM RESETPWD /Server:<name of any domain controller> /UserD:<domain admin account> /PasswordD:*

任何一种方法都要求您能够使用本地管理员帐户（或缓存凭据）登录。

每次执行此操作时都会发生此问题，因此我建议您避免使用同名的两台机器。如果您需要交换它们，请为它们指定不同的机器名称并设置 CNAME 以指向适当的实时服务器。

编辑以获取更多信息

如果我们说旧的工作机器是机器 A，新的是机器 B。当您将机器 A 加入域时，机器 A 和域已经协商了一个密码，与您的任何密码无关，您无需参与。机器 A 和域都知道这个密码，并且每当机器 A 与域通信时，它都会传递这个密码并进行身份验证。一切都很好。

当您断开机器 A 并加入机器 B 时，机器 B 会尝试与域通信，但它不知道机器 A 和域同意的密码是什么，因此会失败并且不存在信任。让它们再次信任的唯一方法是让它们协商新密码，但您必须使用我提到的命令之一来强制执行此操作，或者通过删除并重新加入域。所有这些都要求用户具有添加域计算的权限，如果您可以重新启动机器并使其工作那就不好了，否则任何人都可以将流氓机器添加到域并访问网络。我提到的命令只需要在出现问题的机器上运行，它基本上告诉域它需要使用此机器重新创建密码，这是我的凭据以证明它没问题。

但是，正如我提到的，每次更换机器时都会发生这种情况。这不是一个好的永久解决方案。

Answer

您遇到的问题与 IP 无关，这是因为您有 2 台同名的机器。对于一个机器名，您只能有一个 AD 计算机对象，并且该计算机对象有一个密码，该密码是在您将计算机加入域时由 DC 和计算机协商确定的，它不是您输入的，而是由域配置的。

当您将这台机器换成另一台同名的机器时，就会出现这个问题。这台新机器不知道已协商的密码，DC 不会信任它。

有几种方法可以解决此问题。一种方法是从域中删除计算机并重新加入，这将重新创建信任。另一种方法是运行以下命令之一：

电源外壳

Reset-ComputerMachinePassword -Server <Name of any domain controller> -Credential <domain admin account>

命令行

NETDOM RESETPWD /Server:<name of any domain controller> /UserD:<domain admin account> /PasswordD:*

任何一种方法都要求您能够使用本地管理员帐户（或缓存凭据）登录。

每次执行此操作时都会发生此问题，因此我建议您避免使用同名的两台机器。如果您需要交换它们，请为它们指定不同的机器名称并设置 CNAME 以指向适当的实时服务器。

编辑以获取更多信息

如果我们说旧的工作机器是机器 A，新的是机器 B。当您将机器 A 加入域时，机器 A 和域已经协商了一个密码，与您的任何密码无关，您无需参与。机器 A 和域都知道这个密码，并且每当机器 A 与域通信时，它都会传递这个密码并进行身份验证。一切都很好。

当您断开机器 A 并加入机器 B 时，机器 B 会尝试与域通信，但它不知道机器 A 和域同意的密码是什么，因此会失败并且不存在信任。让它们再次信任的唯一方法是让它们协商新密码，但您必须使用我提到的命令之一来强制执行此操作，或者通过删除并重新加入域。所有这些都要求用户具有添加域计算的权限，如果您可以重新启动机器并使其工作那就不好了，否则任何人都可以将流氓机器添加到域并访问网络。我提到的命令只需要在出现问题的机器上运行，它基本上告诉域它需要使用此机器重新创建密码，这是我的凭据以证明它没问题。

但是，正如我提到的，每次更换机器时都会发生这种情况。这不是一个好的永久解决方案。

Question 2

这……真的没有任何意义。IP 寻址有什么也没有与域成员资格有关。

如果您用一台新机器替换一台机器，新机器不会因为具有与旧机器相同的 IP 地址（或名称）而自动成为域成员；您需要使用标准程序将其加入域（在系统属性中更改域成员身份，或使用类似的命令行工具netdom）。

不，你不是在“重建信任关系”。你是在将新机器加入域。

Answer

这……真的没有任何意义。IP 寻址有什么也没有与域成员资格有关。

如果您用一台新机器替换一台机器，新机器不会因为具有与旧机器相同的 IP 地址（或名称）而自动成为域成员；您需要使用标准程序将其加入域（在系统属性中更改域成员身份，或使用类似的命令行工具netdom）。

不，你不是在“重建信任关系”。你是在将新机器加入域。

Question 3

首先我要说的是，Massimo 和 Sam 所说的一切都是正确的。

您的问题的实际“答案”是您需要有两个不同的计算机名称。

您是否已经了解如何使用虚拟化软件（例如 VirtualBox）构建两个虚拟机，并将网络适配器配置为 NAT，以便两个虚拟机在网络上都显示为使用主机的静态 IP 地址？

再次提醒，请记住 IP 地址与信任违规无关。只有两台同名的计算机加入同一个域才与信任违规有关。

不要这样做。默认情况下，非管理员用户可以将多台计算机加入域（非管理员用户可以加入的计算机的具体数量取决于域管理员如何配置活动目录）

因此，如果您“尝试两种不同的配置”，则为您需要尝试的每种配置创建不同的 VM。您需要为它们提供不同的计算机名称，但实际上，使用不同的计算机名称不会阻止您进行测试。如果您需要测试组策略如何应用于不同的配置，则只需为每个 VM 提供自己的计算机名称并将它们放在 AD 中的自己的 OU 中，然后将 GPO 链接到该 OU。

底线是你不能让两台同名的机器加入同一个域。我强烈建议你使用可视化软件来测试构建环境。

Answer