Назад | Перейти на главную страницу

Восстановление доверительных отношений

Я нахожусь в сети, в которой связь осуществляется через статические IP-адреса.

На довольно регулярной основе мне нужно поменять местами машины, то есть отключить машину, скажем: 10.50.5.1 и подключить новую машину на ее месте с тем же статическим IP 10.50.5.1.

Эта машина, которую я только что подключил к сети, не будет иметь доверительных отношений. Есть ли быстрый способ восстановить доверительные отношения?

РЕДАКТИРОВАТЬ:

Уточнение, обе машины настроены с одинаковыми IP-адресами и информацией о домене, поэтому только одна из них может быть в домене в любой момент времени. Я просто переключаю тот, который подключен к сети. Но они оба всегда думают, что являются членами домена.

Итак, я ничего не меняю в «Свойства системы»> «Имя компьютера»> «Изменение имени компьютера / домена», как тогда я могу восстановить доверительные отношения с только что добавленным компьютером?

В этом ... на самом деле нет никакого смысла. IP-адресация вообще ничего делать с членством в домене.

Если вы заменяете компьютер на новый, новый не будет автоматически членом домена только потому, что он имеет тот же IP-адрес (или имя), что и старый; вам нужно будет присоединить его к домену, используя стандартную процедуру (измените членство в домене в свойствах системы или используйте инструмент командной строки, например netdom).

И нет, вы не «восстанавливаете доверительные отношения». Ты присоединение новой машины к домену.

Проблема, с которой вы столкнулись, не связана с IP-адресом, это потому, что у вас есть 2 машины с одинаковым именем. У вас может быть только один компьютерный объект AD для имени компьютера, и этот компьютерный объект имеет пароль, этот пароль согласовывается между контроллером домена и компьютером, когда вы присоединяете его к домену, это не то, что вы вводите, он настраивается доменом.

Когда вы меняете машину на другую с тем же именем, вы получаете эту проблему. Эта новая машина не знает пароль, который был согласован, и DC не будет доверять ему.

Есть несколько способов решить эту проблему. Один из способов - удалить машину из домена и повторно присоединить ее, это восстановит доверие. Другой - запустить одну из следующих команд:

Powershell

Reset-ComputerMachinePassword -Server <Name of any domain controller> -Credential <domain admin account>

Командная строка

NETDOM RESETPWD /Server:<name of any domain controller> /UserD:<domain admin account> /PasswordD:*

Любой метод требует, чтобы вы могли войти в систему с учетной записью локального администратора (или кэшированными учетными данными).

Эта проблема будет возникать каждый раз, когда вы это сделаете, поэтому я бы посоветовал вам избегать двух машин с одинаковыми именами. Если вам нужно поменять их местами, дайте им разные имена компьютеров и настройте CNAME, чтобы указать на соответствующий действующий сервер.


Изменить для получения дополнительной информации

Если мы говорим, что старая рабочая машина - это машина A, а новая - машина B. Машина A и домен согласовали пароль, когда вы присоединили ее к домену, ничего общего ни с одним из ваших паролей, вы не участвуете. И машина A, и домен знают этот пароль, и всякий раз, когда машина A связывается с доменом, она передает его и выполняет аутентификацию. Все хорошо.

Когда вы отключаете машину A и присоединяетесь к машине B, машина B пытается поговорить с доменом, но не знает, какой пароль согласован между машиной A и доменом, поэтому он терпит неудачу и отсутствует доверие. Единственный способ заставить их снова довериться - это заставить их согласовать новый пароль, но вы должны заставить это сделать это с помощью одной из упомянутых мной команд или путем удаления и повторного присоединения к домену. Все это требует, чтобы у пользователя были права на добавление вычислений домена, было бы бесполезно, если бы вы могли просто перезапустить машину, и она работала, иначе любой мог бы добавить машину с румянцем в домен и получить доступ к сети. Команды, о которых я упомянул, нужно запускать только на той машине, на которой возникла проблема, они в основном говорят домену, что ему необходимо воссоздать пароль на этой машине, и вот мои учетные данные, чтобы доказать, что все в порядке.

Однако, как я уже упоминал, это будет происходить каждый раз, когда вы меняете машины. Это не лучшая идея в качестве постоянного решения.

Позвольте мне начать с того, что все, что сказали Массимо и Сэм, правильно.

Фактический «ответ» на вашу проблему состоит в том, что вам нужно иметь два разных имени компьютера.

Вы прошли через создание двух виртуальных машин с использованием программного обеспечения для виртуализации (например, VirtualBox) и настройку сетевых адаптеров в качестве NAT, чтобы обе виртуальные машины отображались в сети, чтобы использовать статический IP-адрес вашего хоста?

Опять же, имейте в виду, что IP-адрес не имеет ничего общего с нарушением доверия. Наличие двух компьютеров с одинаковым именем, подключенных к одному домену, имеет значение.

Не делай этого. Пользователь без прав администратора по умолчанию может присоединить несколько компьютеров к домену (конкретное количество компьютеров, к которым может присоединиться пользователь без прав администратора, зависит от того, как администратор домена настроил активный каталог)

Поэтому, если вы «пробуете две разные конфигурации», создайте разные виртуальные машины для каждой конфигурации, которую вам нужно попробовать. Вам нужно будет дать им разные имена машин, но на самом деле нет причин, по которым использование разных имен машин помешало бы вам провести тестирование. Если вам нужно проверить, как групповая политика применяется к различным конфигурациям, просто дайте каждой виртуальной машине собственное имя машины и поместите их в их собственное подразделение в AD, а затем свяжите объект групповой политики с этим подразделением.

Суть в том, что вы не можете иметь две машины с одинаковым именем, присоединенные к одному домену. Я настоятельно рекомендую вам взглянуть на использование программного обеспечения визуализации для тестирования среды сборки.