Система: На одном сервере, использующем Hyper-V, размещаются все серверы, кроме одного. Второй автономный сервер действует как контроллер домена хозяина операций, DC1. Схема находится внизу этого поста.
Ситуация: Когда все пароли были обновлены в последний раз, что-то в процессе пошло не так; впервые этот процесс сорвался. В следующий раз, когда была предпринята попытка доступа любой на машинах с «обновленным паролем» записанный новый пароль не работал. Это включало общий пароль администратора, который и вызвал кризис. Хотя вся система работала, ни один из серверов не был доступен, включая хост.
Прогресс на сегодняшний день: Хост-сервер и все его виртуальные машины были легко восстановлены с помощью самой последней резервной копии всей системы. Потеря данных была очень незначительной, и кажется, что любые важные данные могут быть доступны другими способами. Автономный DC1 был отключен, чтобы предотвратить автоматическое обновление восстановленной виртуальной машины DC2 с уже утерянным паролем. Восстановленная среда Hyper-V работает нормально, и все машины были обновлены с новым паролем, включая общий пароль администратора на DC2. Так что это облегчение.
Просьба о помощи: Каким будет лучший / правильный / простой способ вернуть автономный DC1 в систему?
Я прошу это только для того, чтобы узнать, есть ли способ избежать восстановления автономного DC1 с нуля. Я понимаю, что могу вернуть роли FSMO в единственный оставшийся DC2, сделав его новым оператором, а затем эффективно добавить восстановленный автономный DC1 обратно в систему. Но если есть более простой способ сделать что-то, я хотел бы знать об этом.
Мне сказали, что есть способ загрузить сервер с чего-то вроде USB-накопителя, а затем как-то войти и восстановить основную учетную запись для машины. Это действительно так? Я был настроен скептически, потому что предполагал, что всю безопасность, которую мы имеем в этих системах, нельзя так легко обойти, поэтому я был бы признателен за некоторое понимание этой идеи.
Что произойдет, если я просто снова подключу автономный DC1 к системе? Будет ли это заменять существующий DC2 предыдущим «утерянным» паролем, возвращая нас туда, где мы были после катастрофы?
Последний добавленный вопрос: Поскольку это небольшой запуск, у нас нет специального ИТ-специалиста, который бы следил за соблюдением всех передовых методов, что очевидно, поскольку эта проблема возникла изначально. На экране «Изменить пароль» есть ссылка «Создать диск для сброса пароля». Я предполагаю, что, не сделав этого, мы сделали «тупую» ошибку. Создает ли этот процесс что-то, что позволило бы нам обойти процесс восстановления, который мы сейчас проходим?
Nuke DC1. Не пытайтесь восстановить его. Это не стоит хлопот. Просто отформатируйте, установите новую Windows и продвиньте ее в DC.
Поскольку в настоящее время у вас есть только 1 DC / DNS-сервер, единственный DNS-сервер, настроенный на NIC DC, должен быть 127.0.0.1.
После подключения второго контроллера домена к сети первым параметром DNS на сетевых адаптерах должен быть ДРУГОЙ DNS-сервер, а вторым - 127.0.0.1. Если раньше это не было настроено таким образом, у вас могла быть ошибка репликации, которая вызвала вашу проблему.