Есть много сообщений о восстановлении утраченных доверительных отношений, но я думаю, что эта ситуация отличается от того, что я читал.
У меня было 2 DC 2012 R2 в моей сети, и когда основной DC вышел из строя, вторичный DC не удерживал домен. Я отремонтировал первичный DC, но так и не смог полностью исправить проблемы с вторичным DC, и мне не удалось заставить новые вторичные DC реплицироваться должным образом.
Поэтому я начал с нуля, оставив старый первичный DC в покое, пока я создал новые первичный и вторичный DC. Это выполнено. Dcdiag работает на обоих контроллерах домена, за исключением нескольких незначительных проблем с системным журналом за последние 24 часа во время сборки и repadmin /showrepl показывает успешную репликацию в обоих направлениях.
Итак, теперь мне нужно присоединить всех моих клиентов к «новому» домену, за исключением того, что он не совсем новый. Домен имеет то же имя, но это не тот же набор DC.
Список событий локального сервера показывает, что клиентские ПК пытаются подключиться, потому что они видят контроллеры домена в домене с тем же именем, что и раньше. События говорят о восстановлении доверительных отношений, потому что их SID неверны, но на самом деле это намного сложнее. Они не могут подключиться, потому что я еще не создал их учетные записи пользователей, чтобы они могли получить SID.
Чтобы продолжить, я хочу попросить совета, чтобы убедиться, что я присоединяю клиентов к домену таким образом, чтобы не создавать проблем. Мне нужно создать всего 11 учетных записей, так что это не слишком обременительно. Но меня беспокоит, что если я сделаю это неправильно, я создам дополнительные проблемы.
Итак, мои вопросы:
Как мне повторно присоединить клиентов к новому домену, который фактически является тем же доменным именем, что и раньше? Могу ли я просто создать их учетные записи, а затем заставить их выполнить вход с паролем, который я изначально установил при создании их учетных записей? Могу ли я отключить их от домена, а затем снова присоединиться? Один из клиентов - это сервер TFS, который использует серию имен учетных записей. Если я отключу его от домена, создаст ли это набор проблем, которые не позволят ему подключиться к новому DC?
Наконец, на этот раз это не то, что мне нужно, но был ли механизм, который я мог бы использовать для сохранения данных DC в виде экспорта из старого первичного DC, который можно было бы импортировать в новый первичный DC? Своего рода «последняя кучка» попыток спасти данные. Я понимаю, что это то, что должны были делать вторичные DC.
Во-первых, убедитесь, что ваш новый вторичный постоянный ток также получил копию глобального каталога. Как и положено вашему старому постоянному току, выдерживая нагрузку.
На ваш вопрос, поскольку это малый бизнес, я воссоздаю каждую учетную запись пользователя, но я бы отключил каждую рабочую станцию от домена, чтобы они снова присоединились к нему, чтобы предотвратить проблему sid с каждой учетной записью компьютера, и все (с миграцией профиля пользователя в качестве их сид изменен)
Для сервера TFS я не могу сказать. По этой ссылке есть хорошая документация; https://www.visualstudio.com/en-us/docs/setup-admin/tfs/admin/move-across-domains
Не забывайте также членство в группах и GPO.