有很多关于重新建立失去的信任关系的帖子,但我认为这种情况与我所读到的不同。
我的网络中有 2 个 2012 R2 DC,当主 DC 发生故障时,辅助 DC 没有保持域。我修复了主 DC,但无法完全解决辅助 DC 的问题,我无法让新的辅助 DC 正确复制。
因此,当我创建新的主 DC 和辅助 DC 时,我从头开始不理会旧的主 DC。即完成。除了在构建过程中过去 24 小时的一些小系统日志问题外,两个 DC 上的 Dcdiag 都很清楚,并repadmin /showrepl显示两种方式都成功复制。
所以现在我需要将我的所有客户加入到“新”域,除非它不是全新的。域具有相同的名称,但不是同一组 DC。
本地服务器事件列表显示客户端 PC 正在尝试连接,因为他们看到域中的 DC 与以前同名。事件说要重新建立信任关系,因为他们的 SID 不正确,但实际上比这更复杂。他们无法连接,因为我还没有创建他们的用户帐户以便他们获得 SID。
为了继续,我想寻求指导,以确保我以不会产生问题的方式将客户加入域。我只有 11 个帐户要创建,所以不会太繁琐。但我担心如果我没有正确执行此操作,我会产生额外的问题。
所以我的问题是:
如何将客户端重新加入新域,该域实际上与以前的域名相同?我是否只是简单地创建了他们的帐户,然后让他们使用我在创建他们的帐户时最初设置的密码进行登录?我是否要断开他们与域的连接,然后重新加入?其中一个客户端是使用一系列帐户名的 TFS 服务器。如果我断开它与域的连接,是否会产生一系列问题,使其无法连接到新的 DC?
最后,这次不是我需要它,而是我可以使用一种机制将 DC 数据保存在从旧主 DC 导出的某种导出中,而这些导出可以导入到新的主 DC 中?一种挽救数据的“最后一搏”尝试。我知道这就是二级 DC 应该做的。
首先,请确保您的新辅助 dc 也获得全局目录的副本。因为您的旧直流电应该可以承受负载。
对于您的问题,因为它是一家小型企业,我重新创建了每个用户帐户,但是我会从域中取消每个工作站,让他们在之后重新加入它,以防止每个计算机帐户出现 sid 问题,仅此而已(将用户配置文件迁移作为他们的sid改变了)
对于 TFS 服务器,我不知道。该链接有很好的文档;https://www.visualstudio.com/en-us/docs/setup-admin/tfs/admin/move-across-domains
不要忘记组成员资格和 GPO。