重新安装域控制器后,如何在不重新加入的情况下恢复成员计算机?

重新安装域控制器后,如何在不重新加入的情况下恢复成员计算机?

前言:我不是受过训练的系统管理员。我只是边学边做。请温柔一点。:)

背景:所以我们租了一个 VPS 作为我们的域控制器。将大约 500 台笔记本电脑连接到它。GPO 运行正常(感谢 grawity 和其他人对我之前问题的建议)。但是 VPS 非常不稳定,每隔 10 分钟就会重启一次,原因我搞不清楚。最后我在 VPS 上安装了 2012R2 而不是 2016,再次将其升级为域控制器并重新配置了 GPO。我还设置了另一个 VPS 作为域控制器,作为一种备份。服务器很稳定,一切正常。

问题:在 DC 上重新安装操作系统后,我在计算机列表中看不到之前加入的约 500 台笔记本电脑。我检查了 1 台笔记本电脑,它仍然显示为域成员,并且仍然具有现有策略,但“gpupdate /force”失败了,我怀疑所有较旧的笔记本电脑都不会收到有关 GPO 的任何进一步更新。此时我不介意手动重新加入计算机,但几乎所有这些笔记本电脑都在现场。所以我可以要求召回,但这不会给我带来任何朋友,或者向他们发送 .vbs 脚本以再次将计算机加入域并要求他们运行它,即使我假设每个人都这样做,.vbs 也包含域控制器的 root 密码,因此这是行不通的。所以这是我的两个问题:

  1. 有什么办法可以让我重新加入那些旧笔记本电脑吗?鉴于笔记本电脑仍然“认为”自己是域的成员。我认为如果我能让它们出现在域计算机列表中,我就可以重置计算机帐户,信任问题应该可以解决……我想。

  2. 我们对 VPS 提供商的支持不满意,想更换。有没有办法让我们转移到新的 VPS 和新的 IP,而不必重新连接计算机。

(我怀疑第二个问题的答案默认也会回答第一个问题,但我不确定,所以留给你决定。)

相关信息:我们使用在 godaddy 上注册的可公开路由的 .net 域名。使用自定义名称服务器(ns1..net 和 ns2..net 目前都指向 dc1 的 IP)。由于该域名是可公开路由的,我们将计算机的 DNS 设置为 8.8.8.8 和 8.8.4.4,而不是 DC(“gpupdate”适用于具有此配置的较新的计算机)。

感谢您的阅读并感谢您提供的任何指导。

编辑:系统似乎已将此问题标记为“从不存在的域中删除计算机的命令”的重复。但完全不同的问题

答案1

以下是我的建议(我还没有尝试过任何对此个人而言):

对于计算机:

  1. 从备份列表中重新创建所有机器帐户。
  2. 重置所有计算机帐户。
  3. 创建一个被委派单一权限“将计算机添加到域”的帐户。
  4. 使用您选择的脚本语言编写一个脚本,使用该帐户重新加入域并将其发送到笔记本电脑,尽管由于它们是远程的,可能会出现问题。(他们可能无法远程找到 DC。)
  5. 禁用或者重置临时域加入帐户的密码。

假设此方法有效,它将保护您的计算机,但不会保护用户帐户。目前,您的远程用户正在使用缓存的凭据登录。

对于用户:

  1. 从列表中重新创建所有用户帐户。
  2. 向他们发出您第一次设置域名时的原始密码。
  3. 告知用户必须重置他们的密码。
  4. 设置“用户必须在下次登录时更改密码”。这有望重置他们的密码,但您可能会遇到远程用户的问题。
  5. 如果首先更改密码,您可能必须让用户通过 OWA 或类似的网页类型的实用程序重置密码。

请测试一切投入生产之前。

很抱歉,我无法给您一个更令人满意的答案。请考虑设置第二个域控制器以防止这种情况再次发生,即使它只是您桌面上的虚拟机。(这不是一个了不起的做法,但它比没有第二个 DC 要好得多——正如您刚刚发现的那样!)

您可能还对这些操作的执行顺序有疑问。再次提醒,请进行测试。

至于切换到新的 VPS:最简单的方法是在新的 VPS 上安装 Windows 服务器并将其加入现有域,给它时间进行复制,然后降级旧 VPS 上的旧 DC。不过,我仍然建议使用第二个 DC。

相关内容