В моей организации раньше был Windows 2000 Server Ed. Также установлен контроллер домена с ролью DNS. Он обслужил 5 других серверов и около 15 рабочих станций. Несколько месяцев назад материнская плата вышла из строя, и, поскольку это был довольно старый сервер, мой руководитель предложил нам установить более новую версию Windows Server (наконец-то!) На Intel NUC5i3MYHE, который мы только что купили, с намерением установить немного света. роли сервера на нем (файловый сервер, DNS, внутренний веб-сервер и т. д.).
Установка Server 2012 R2 на коробку прошла гладко, как и добавление ролей AD DS и DNS, а также повышение до контроллера домена (поскольку существующий домен теперь отключен из-за сбоя старого сервера, я установил новый DC как тот же доменное имя и выбрал опцию «Новый лес» во время dcpromo.exe).
Когда я впервые подключил новый контроллер домена к локальной сети, у нас были проблемы с людьми, которые не могли войти в свои компьютеры. Я осознал свою ошибку (у меня довольно напряженный рабочий день), не настроив учетные записи пользователей в AD, и поэтому сразу отключил ее, после чего мои конечные пользователи смогли снова войти на свои рабочие станции, используя свои старые учетные записи (кэшируются на локальных компьютерах как «автономные файлы»). Для записи, я еще не настраивал зоны прямого и обратного просмотра в DNS. Насколько я понимаю, мне сначала нужно, чтобы AD DS работал, а он явно не работает (во всяком случае, 100%).
Пару дней спустя я установил для всех те же имена пользователей, которые были у них до того, как исходный DC вылетел из строя, а некоторым потребовались новые пароли для соответствия требованиям сложности. Вот где загвоздка.
Европейцы, у которых уже были пароли, отвечающие требованиям сложности, не имели проблем со входом в систему, используя свои классические пароли. Но для тех, чей пароль необходимо было изменить, они получают сообщение при входе в свою старую учетную запись, что-то вроде «Пожалуйста, заблокируйте этот компьютер и войдите в систему, используя текущие учетные данные домена», которые они пробуют, но их машины (XP SP3 и W7, Pro Eds) не пропустят их с вновь созданными паролями, используя их классические имена пользователей.
Я действительно не хочу создавать новый раунд имен пользователей и паролей для каждого пользователя, но я опасаюсь, что те, чьи пароли не изменились, вообще не входят в новый DC, а скорее их старые "Offline Files, "и пользователи, чьи пароли были изменены, могут получить доступ к рабочему столу / Моим документам, но только путем ввода своего классического пароля и доступа к локально кэшированным автономным файлам.
FWIW, в моем журнале событий на новом сервере я заметил ошибку с идентификатором 4013, информацию о которой я нашел здесь: https://technet.microsoft.com/en-us/library/cc735842(v=ws.10).aspx
... но когда я перехожу по найденной там ссылке для устранения неполадок AD DS, я попадаю на общую страницу «Устаревшее содержимое Windows Server 2003/2003 R2», что необычно, потому что это был компьютер 2012 R2, который генерировал ошибку с идентификатором 4013 и да, это был правильный ответ по ссылке (совпадение с моим сервером).
Я пытался войти и выйти несколько раз на нескольких рабочих станциях, с различными учетными данными, и безуспешно, я могу войти в домен только со старыми паролями. Если кто-то может указать мне правильное направление, я был бы очень признателен, я действительно не так много работаю с AD DS, поскольку моя роль в компании с годами сместилась с сетевого администратора на более похожую на веб-разработчика. роли. У меня есть журналы событий, которые я могу предоставить вам всем, если это поможет, другие предупреждения были RE: ADWS (веб-службы), которые, я не уверен, полезны, поэтому я не включил их, но дайте мне знать! Заранее благодарим за ваши предложения!
Вы сами создали эту проблему, не соблюдая два самых важных правила Active Directory:
Если у вас нет резервной копии старого контроллера домена, есть ли у вас жесткий диск? Подключите его к другому компьютеру и загрузите. Получите снова работать. Затем сотрите новый контроллер домена и начните с него, но на этот раз добавьте его в качестве дополнительного контроллера домена в свой домен.
Если вы не можете этого сделать, вам нужно будет присоединить все компьютеры вашего ЕС (что бы это ни было) к новому домену, который вы создали.
И даже не заставляйте меня начинать с того, какой компьютер вы выбрали для вашего контроллера домена. Intel NUC? Вы пытаетесь настроить себя на неудачу?
Вы не воссоздали свой старый домен, вы создали домен с похожими именами на старый домен.
Как вы подозреваете, ваши люди продолжают входить в систему с учетными данными, кэшированными в старом домене. Когда они это сделают, если вы посмотрите журналы событий на их машинах и на контроллере домена, вы увидите проблемы.
Вам необходимо, чтобы каждый компьютер «вышел» из старого домена и «присоединился» к новому домену.
Убедитесь, что у вас есть пароль локального администратора на каждом ПК, прежде чем связывать это.
Как только ПК будут присоединены к домену, а пользователи войдут в «новый» домен, они получат новый профиль пользователя. Это будет выглядеть так:
C: \ Users \ имя пользователя
c: \ users \ username.domainname <- это ваш новый профиль пользователя
Это может сделать людей (и вас) очень несчастными. Используйте ForensIT, чтобы исправить их профиль. Бесплатная версия отлично работает при индивидуальном запуске на каждой рабочей станции.
Если у них были автономные кэшированные копии файлов из общих папок, вам нужно кое-что очистить.
Измените свое мышление «Я ремонтирую домен» на «Я переношу все на новый домен и спасаю все, что могу».