我的组织曾经有一个 Windows 2000 Server Ed. 域控制器,还安装了 DNS 角色。它为其他 5 台服务器和大约 15 个工作站提供服务。几个月前,主板坏了,而且由于这台服务器本来就比较旧,我的主管建议我们在刚购买的 Intel NUC5i3MYHE 上安装一个较新版本的 Windows Server(终于!),目的是在其上安装一些轻量级服务器角色(文件服务器、DNS、内部 Web 服务器等)。
在机器上安装 Server 2012 R2 的过程非常顺利,添加 AD DS 和 DNS 角色以及升级到域控制器的过程也非常顺利(由于现有域现在由于旧服务器故障而处于离线状态,因此我将新的 DC 设置为相同的域名,并在 dcpromo.exe 期间选择了选项“新林”)。
我第一次将新的 DC 放在 LAN 上时,遇到了人们无法登录计算机的问题。我意识到了自己的错误(我平均工作日非常忙碌),没有在 AD 中设置用户帐户,因此立即将其脱机,此时我的最终用户能够使用他们的旧帐户(缓存在本地计算机上作为“脱机文件”)重新登录他们的工作站。顺便说一句,我还没有在 DNS 中设置正向和反向查找区域。据我所知,我需要先运行 AD DS,但它显然无法正常工作(无论如何,100% 正常)。
几天后,我让每个人都使用他们在原始 DC 崩溃前使用的用户名,其中一些需要新密码才能满足复杂性要求。这就是问题所在。
已经拥有满足复杂性要求的密码的欧盟用户使用传统密码登录时没有遇到任何问题。但对于那些需要更改密码的用户,他们在使用旧帐户登录时会收到一条消息,内容是“请锁定此计算机并使用当前域凭据登录”,他们尝试这样做,但他们的计算机(XP SP3 和 W7、Pro Eds)不允许他们使用新创建的密码和传统用户名登录。
我真的不想为每个用户设置一轮全新的用户名和密码,但我担心那些密码没有改变的用户根本无法登录到新的 DC,而是登录到他们的旧的“脱机文件”,而那些密码确实改变的用户虽然能够访问桌面/我的文档,但只能通过输入他们的经典密码并访问本地缓存的脱机文件。
值得一提的是,我注意到新服务器上的事件日志中出现了错误 ID 4013,我在这里找到了一些信息: https://technet.microsoft.com/en-us/library/cc735842(v=ws.10).aspx
...但是当我点击那里的 AD DS 故障排除链接时,它会将我带到一个通用的“Windows Server 2003/2003 R2 退役内容”页面,这很奇怪,因为它是一台生成错误 ID 4013 的 2012 R2 机器,是的,它是链接上的正确代码(与我的服务器上的措辞相匹配)。
我尝试过在多个工作站上登录和退出几次,使用各种凭据,但都没有成功,我只能使用旧密码进入域。如果有人能给我指出正确的方向,我将不胜感激,我真的不怎么处理 AD DS,因为多年来我在公司的角色已经从网络管理员转变为更像 Web 开发人员的角色。我有事件日志可以给你们所有人,如果这有帮助的话,其他警告是 RE:ADWS(Web 服务),我不确定它是否有用,所以我没有包括它,但请告诉我!提前感谢您的建议!
答案1
您还没有重新创建旧域名,而是创建了一个与旧域名名称相似的域名。
正如您所怀疑的,您的员工继续使用缓存到旧域的凭据登录。当他们这样做时,如果您查看其计算机和 DC 上的事件日志,就会发现问题。
您需要让每台 PC“退出”旧域并“加入”新域。
执行此操作之前,请确保每台电脑上都有本地管理员密码。
一旦 PC 加入域,并且用户登录到“新”域,他们将获得一个新的用户配置文件。它将如下所示:
C:\用户\用户名
c:\users\username.domainname <- 这是您的新用户配置文件
这可能会让别人(和你)非常不高兴。使用 ForensIT 修复他们的个人资料。免费版本在每个工作站单独运行时效果很好。
如果他们有来自共享的离线缓存文件副本,您需要在那里进行一些清理。
将“我正在修复一个域”的想法转变为“我正在将所有内容迁移到一个新域,并挽救一切可能的东西”。
答案2
由于您没有遵循 Active Directory 的两个最重要的规则,因此您自己造成了此问题:
- 永远不要只有一个域控制器。两个是绝对最少的。
- 使用 Active Directory 感知备份实用程序定期备份您的域控制器。
如果您没有旧域控制器的备份,您还有硬盘吗?将其插入另一台计算机并启动。让它重新工作。然后删除您的新域控制器并重新开始,但这次将其作为附加域控制器添加到您的域中。
如果您不能这样做,那么您将需要将所有 EU(无论是什么)的计算机加入到您创建的新域中。
甚至不要让我开始谈论你为域控制器选择的计算机。英特尔 NUC?你是想让自己陷入失败吗?