我的组织曾经有一台 Windows 2000 Server Ed。还安装了具有 DNS 角色的域控制器。它为其他 5 台服务器和大约 15 个工作站提供服务。几个月前,主板坏了,因为它是一个相当旧的服务器,我的主管建议我们在我们刚购买的英特尔 NUC5i3MYHE 上安装更新版本的 Windows Server(终于!),目的是安装一些灯服务器角色(文件服务器、DNS、内部网络服务器等)。
Server 2012 R2 在盒子上的安装很顺利,添加 AD DS 和 DNS 角色,以及升级到域控制器(由于旧服务器故障导致现有域现在离线,我将新 DC 设置为相同)域名,并在 dcpromo.exe 期间选择了“新森林”选项)。
我第一次将新的 DC 放在 LAN 上时,我们遇到了人们无法登录他们的计算机的问题。我意识到我的错误(我有一个非常忙碌的平均工作日),没有在 AD 中设置用户帐户,因此立即将其脱机,此时我的最终用户能够使用他们的旧帐户重新登录到他们的工作站(作为“离线文件”缓存在他们的本地计算机上)。作为记录,我还没有在 DNS 中设置正向和反向查找区域。据我了解,我首先需要 AD DS 工作,但它显然不工作(100%,无论如何)。
几天后,我让每个人都设置了与原始 DC 崩溃前相同的用户名,其中一些需要新密码才能满足复杂性要求。这就是障碍所在。
已经拥有满足复杂性要求的密码的欧盟使用他们的经典密码登录没有问题。但是对于那些需要更改密码的人,他们在使用旧帐户登录时会收到一条消息,大意是“请锁定此计算机并使用当前域凭据登录”,他们会尝试这样做,但他们的机器(XP SP3 和 W7,Pro Eds)不会让他们使用新创建的密码,使用他们的经典用户名。
我真的不想为每个用户设置新一轮的用户名和密码,但我担心那些密码没有改变的人根本没有登录新的 DC,而是他们旧的“离线文件, " 并且密码确实发生更改的用户能够访问桌面/我的文档,但只能通过输入他们的经典密码并访问本地缓存的脱机文件。
FWIW,我在新服务器上的事件日志中注意到错误 ID 4013,我在这里找到了一些信息: https://technet.microsoft.com/en-us/library/cc735842(v=ws.10)。 aspx
...但是当我点击那里找到的 AD DS Troubleshooting 链接时,它会将我带到一个通用的“Windows Server 2003/2003 R2 Retired Content”页面,这很奇怪,因为它是生成错误 ID 4013 的 2012 R2 机器和是的,这是链接上的正确链接(与我的服务器匹配的措辞)。
我已经尝试在几个工作站上登录和注销几次,使用各种凭据但没有运气,我只能使用旧密码进入域。如果有人能指出我正确的方向,我将不胜感激,因为多年来我在公司的角色已经从网络管理员转变为更多的 Web 开发人员,所以我真的不怎么处理 AD DS的作用。我有事件日志,我可以给大家,如果有帮助,其他警告是 RE: ADWS (Web Services),我不确定它是否有帮助,所以我没有包括它,但请告诉我!提前感谢您的建议!
您没有遵循 Active Directory 中最重要的两条规则,而是为自己制造了这个问题:
如果你没有旧域控制器的备份,你还有硬盘吗?将其插入另一台计算机并启动它。让它再次工作。然后擦除您的新域控制器并重新开始,但这次将其作为附加域控制器添加到您的域中。
如果您不能这样做,那么您将需要将所有欧盟(无论是什么)计算机加入您创建的新域。
甚至不要让我开始为您的域控制器选择计算机。英特尔 NUC?你是否试图为失败做好准备?
您尚未重新创建旧域,而是创建了一个与旧域具有相似名称的域。
正如您所怀疑的,您的人员继续使用缓存到旧域的凭据登录。当他们这样做时,如果您查看他们机器和 DC 上的事件日志,您会发现问题。
您需要让每台 PC “退出”旧域,并“加入”新域。
在使用此功能之前,请确保您在每台 PC 上都有本地管理员密码。
一旦 PC 加入域,并且用户登录到“新”域,他们将获得一个新的用户配置文件。它看起来像这样:
C:\用户\用户名
c:\users\username.domainname <- 这是您的新用户配置文件
这可能会让人们(和你)非常不开心。使用 ForensIT 修复他们的个人资料。免费版本在每个工作站单独运行时运行良好。
如果他们有来自共享的文件的离线缓存副本,那么您需要在那里进行一些清理工作。
将您对“我正在修复一个域”的想法改变为“我正在将所有内容迁移到一个新域,并尽我所能”。