关于重新建立失去的信任关系的帖子有很多,但我认为这种情况与我读过的不同。
我的网络中有 2 个 2012 R2 DC,当主 DC 发生故障时,辅助 DC 无法支持域。我修复了主 DC,但始终无法完全解决辅助 DC 的问题,也无法让新的辅助 DC 正确复制。
因此,我从头开始,保留旧的主 DC,同时创建新的主 DC 和辅助 DC。这样就完成了。除了构建期间过去 24 小时内的一些小系统日志问题外,Dcdiag 对两个 DC 都清晰可见,并且repadmin /showrepl显示双向复制成功。
所以现在我需要将所有客户加入到“新”域,但这个域并不完全是新的。该域具有相同的名称,但不是同一套 DC。
本地服务器事件列表显示客户端 PC 正在尝试连接,因为它们看到域中的 DC 与之前同名。事件表示要重新建立信任关系,因为它们的 SID 不正确,但实际上情况比这更复杂。它们无法连接,因为我尚未创建它们的用户帐户,以便它们获取 SID。
为了继续,我想寻求指导,以确保我以不会产生问题的方式将客户端加入域。我只需要创建 11 个帐户,所以负担不大。但我担心如果我做得不正确,我会制造更多问题。
我的问题是:
我如何将客户端重新加入新域,该域实际上与之前的域名相同?我是否只需创建他们的帐户,然后让他们使用我在创建帐户时最初设置的密码登录?我是否断开他们与域的连接然后重新加入?其中一个客户端是使用一系列帐户名的 TFS 服务器。如果我将其与域断开连接,是否会产生一系列问题,使其无法连接到新的 DC?
最后,这次我不需要它,但是是否有一种机制我可以使用,以某种方式从旧的主 DC 导出 DC 数据,然后将其导入到新的主 DC?这是一种挽救数据的“最后努力”。我明白这就是辅助 DC 应该做的事情。
答案1
首先,请确保您的新辅助 dc 也获得全局目录的副本。因为您的旧 dc 应该已经能够承担负载。
对于您的问题,由于这是一家小型企业,我会重新创建每个用户帐户,但我会取消每个工作站的域加入,然后让他们重新加入域,以防止每个计算机帐户出现 sid 问题,就这样(使用用户配置文件迁移,因为他们的 sid 发生了变化)
对于 TFS 服务器,我无法判断。该链接有很好的文档;https://www.visualstudio.com/en-us/docs/setup-admin/tfs/admin/move-across-domains
也不要忘记群组成员资格和 GPO。