Depois de reinstalar um controlador de domínio, como recuperar computadores membros sem se reunir novamente? [duplicado]

Navegue suas respostas
2

Prefácio: Eu não sou um administrador de sistemas treinado. Apenas tentando aprender enquanto vou. Por favor, seja gentil. :)

Histórico: Por isso, alugamos um VPS para atuar como nosso controlador de domínio. Juntou ~ 500 dos nossos laptops para ele. Os GPOs estavam funcionando perfeitamente (graças ao conselho do Grawity e outros sobre a minha pergunta anterior). Mas o VPS era muito instável, continuava reiniciando a cada 10 minutos por motivos que eu não conseguia descobrir. No final, instalei o 2012R2 no VPS em vez de 2016, o aumentei novamente para o controlador de domínio e reconfigurei os GPOs. Eu também configurei outro VPS como controlador de domínio para atuar como uma espécie de backup. Os servidores são estáveis e tudo funciona.

Problema: Depois que eu reinstalei o sistema operacional no DC, não consigo ver os ~ 500 laptops que entraram anteriormente na lista de computadores. Eu chequei 1 laptop e ele ainda se mostra como um membro do domínio e ainda tem políticas existentes, mas "gpupdate / force" falha e eu suspeito que todos os laptops mais antigos não receberão mais atualizações sobre os GPOs. Neste ponto, não me importo de voltar manualmente para os computadores, mas quase todos esses laptops estão no campo. Então eu poderia pedir um recall que não vai me fazer nenhum amigo ou mandar para eles um script .vbs para juntar o computador ao domínio novamente e pedir-lhes para executá-lo, o que, mesmo que eu ache que todo mundo faz, o .vbs contém o senha root para o controlador de domínio, de modo que não é um bom começo. Então, aqui estão minhas 2 perguntas:

  1. Existe alguma maneira de eu poder me juntar a esses laptops antigos? Dado que os laptops ainda 'se consideram' membros do domínio. Eu acho que se eu puder fazer com que eles apareçam na lista de computadores de domínio, eu poderia redefinir a conta do computador e o problema de confiança deveria ser resolvido ... eu acho.

  2. Estamos insatisfeitos com o suporte do provedor de VPS e queremos mudar. Existe alguma maneira de nos mudarmos para um novo VPS com um novo IP e não precisarmos voltar aos computadores novamente?

(Eu suspeito que a resposta para a segunda pergunta também responderia a primeira por padrão, mas eu não sei ao certo, então deixo isso para você.)

Pouco de informações relevantes: estamos usando um domínio .net publicamente roteável registrado no godaddy. Usando nameservers personalizados (ns1..net e ns2..net apontando para o IP de dc1 a partir de agora). Como o domínio é publicamente roteável, definimos o DNS dos computadores como 8.8.8.8 & 8.8.4.4 em vez dos DCs ("gpupdate" funciona em computadores mais novos com esta configuração).

Obrigado por ler e agradecer qualquer orientação que você possa fornecer.

EDIT: O sistema parece ter marcado esta questão como duplicata de "Comando para remover o computador do domínio inexistente". Pergunta completamente diferente embora

    
por Manoj Jain 30.11.2017 / 11:12

1 resposta

1

Aqui estão minhas recomendações (eu não tentei qualquer disso pessoalmente):

Para os computadores:

  1. Recrie todas as contas de máquina das suas listas de backup.
  2. Redefinir todas as contas de computador.
  3. Crie uma conta à qual tenha sido delegado o único privilégio "add computadores para o domínio. "
  4. Escreva um script na linguagem de script de sua escolha para reingressar o domínio usando essa conta e enviá-lo para os laptops, embora pode haver problemas, já que eles são remotos. (Eles podem não ser capazes para encontrar o DC remotamente.)
  5. Desabilitar ou redefinir a senha do ingresso temporário de domínio conta.

Supondo que isso funcione, isso cuidará dos seus computadores, mas não das contas de usuário. No momento, seus usuários remotos estão fazendo login com credenciais em cache.

Para os usuários:

  1. Recrie todas as contas de usuário de uma lista.
  2. Emita-lhes as senhas originais de quando você configura o domínio pela primeira vez.
  3. Comunique aos usuários que suas senhas precisarão ser redefinidas.
  4. Definir "usuário deve alterar a senha no próximo login". Isso, esperamos, redefinirá suas senhas, mas você pode ter problemas com os usuários remotos.
  5. Talvez seja necessário que os usuários redefinam suas senhas por meio do OWA ou de um utilitário semelhante ao do tipo de página da Web, se alterarem suas senhas primeiro.

Por favor, teste tudo antes de colocá-lo em produção.

Desculpe, não tenho uma resposta mais feliz para você. Por favor, considere a criação de um segundo controlador de domínio para evitar que isso aconteça novamente, mesmo que seja apenas uma VM na sua área de trabalho. (Isso não é uma prática incrível, mas é muito melhor do que simplesmente não ter um segundo DC - como você acabou de descobrir!)

Você também pode ter problemas com a ordem em que essas coisas são feitas. Mais uma vez, por favor teste.

Quanto à mudança para um novo VPS: A maneira mais fácil de fazer isso seria instalar o servidor Windows no novo VPS e associá-lo ao domínio existente, dar tempo para replicar e depois rebaixar o antigo DC no antigo VPS . Eu ainda recomendo ter um segundo DC, no entanto.

    
por 30.11.2017 / 21:50

Tags

Como posso tornar um diretório completamente privado de um determinado grupo de usuários? Como encaminhar o log do Windows usando o Nxlog para o servidor rsyslog (linux)?