我有一个远程 DC,它至少 90 天都无法完全复制 AD,因此已被墓碑化,其站点到站点链接被切断,并且已从组织的主要 AD 基础设施中清除。这很好,我们不想修复这个问题或将他们现在的本地 AD 重新纳入其中;该办公室将作为其自己的独立 AD 办公室继续前进。我们正在准备 AD 迁移时,他们与 AD 其余部分的链接失败了,但尚未做出任何更改。
目前,我们拥有的所有域管理员凭据都无法在该 DC 上使用。我有 5 个不同的域管理员,他们发誓他们知道他们的密码,并且知道上次 AD 成功复制时的密码。我们所有人都无法登录,也无法使用主企业管理员帐户,该密码在一切正常运行和现在之间绝对没有改变。
我们所有的域管理员不可能都记不住密码。这些密码没有有效期,我们也没有被迫更改密码,只是本地 DC 认为密码错了。本地管理员说,在我们准备 AD 迁移时,他没有对他们的 DC 做任何事情,他的帐户只对他们的用户和他们的 OU 具有管理权限,所以他不应该能够更改我们的任何密码或类似的东西。
那么这怎么可能发生呢?如果你搞砸了,在 DC 上启动 DSRM 会对所有域管理员帐户产生影响吗?也就是说,我们的本地人是否试图亲自处理此事并破坏某些东西?服务器是否可能以某种方式受到攻击,从而导致这种情况?
现场唯一的其他服务器是加入域的文件服务器,本地管理员凭据仍然可以访问,因此这不是一个大问题。
现有的 DC 是 Server 2008 R2,现有的文件服务器也是如此,办公室中的所有计算机都使用完全更新的 Windows 7 机器。
更多相关细节:我们的林中有一个全局域,该域在多个办公室中都有远程域控制器,每个办公室都是一个 AD 站点。其中一个办公室正在脱离我们的全球基础设施。在我们能够正确地将它们从我们的域中迁移出来之前,他们的 ISP 崩溃了,他们的互联网连接也丢失了。由于该站点没有回到我们的控制之下,因此它已从域中删除。为了帮助他们迁移到他们自己的域,我们打算运行 ADMT,但由于他们的本地 DC 无法使用管理员权限进行身份验证,因此我们无法运行 ADMT。
用户配置文件是工作站本地的,主驱动器存储在我们有管理员访问权限的文件服务器上,因此手动移动数据是一种选择。
我对于如何进行有几个想法/问题:
- 我可以恢复他们的站点和 DC,并完成整个取消墓碑的过程,但这需要大量的工作才能使他们达到我们可以再次将其从 AD 中删除的程度。
- 我们可以废弃他们的整个本地 AD 并让他们部署一个新的,并将所有计算机迁移到新的环境,但这也是一项艰巨的工作。
- 如果我们决定采用选项 2,我们最大的担忧就是如何将用户配置文件从当前 AD 迁移到新 AD。鉴于当前域的管理访问权限不存在,是否有工具可以帮助完成此操作?或者这基本上只是创建新 AD、加入 PC、初始化新用户配置文件并将数据从旧配置文件复制到新配置文件并重新配置帐户?
- 有没有更好的方法可以做到这一点?我还没有想到。我知道的所有工具都可以帮助你喜欢这需要对源 AD 的管理访问权限。
答案1
这超出了你自己能够解决的范围。
在我看来,你有两个选择:
- 向 Microsoft 开具支持凭单。如果您没有现有的支持协议,则必须付费。
- 您的选择 2:废除他们的整个本地广告。
就停机时间、生产力损失和 IT 时间而言,选项 2 的成本可能远远超过选项 1 的成本。