Восстановление доверительных отношений
Я нахожусь в сети, где связь осуществляется через статические IP-адреса.
Довольно регулярно мне нужно менять машины, то есть отключать машину, скажем: 10.50.5.1 и подключать новую машину вместо нее, с тем же статическим IP-адресом 10.50.5.1.
На этой машине, которую я только что подключил к сети, не будут установлены доверительные отношения. Есть ли быстрый способ восстановить доверительные отношения?
РЕДАКТИРОВАТЬ:
Пояснение: обе машины настроены с одинаковыми IP-адресами и информацией о домене, поэтому только один из них может быть в домене в любой момент времени. Я просто переключаю, какой из них подключен к сети. Но они оба всегда думают, что являются членами домена.
Поэтому я ничего не изменяю в "Свойствах системы">"Имя компьютера">"Изменения имени компьютера / домена". Как я могу восстановить доверительные отношения с вновь добавленным компьютером?
3 ответа
Проблема, с которой вы сталкиваетесь, не имеет ничего общего с IP, это потому, что у вас есть 2 машины с одинаковым именем. У вас может быть только один объект компьютера AD для имени компьютера, и у этого объекта компьютера есть пароль. Этот пароль согласовывается между DC и компьютером, когда вы присоединяете его к домену, это не то, что вы вводите, это настраивается доменом.
Когда вы заменяете машину на другую с таким же именем, вы получаете эту проблему. Этот новый компьютер не знает пароль, который был согласован, и DC не будет доверять ему.
Есть несколько способов решить это. Одним из способов является удаление и повторное присоединение компьютера из домена, это восстановит доверие. Другой способ - запустить одну из следующих команд:
Powershell
Reset-ComputerMachinePassword -Server <Name of any domain controller> -Credential <domain admin account>
Командная строка
NETDOM RESETPWD /Server:<name of any domain controller> /UserD:<domain admin account> /PasswordD:*
Любой метод требует, чтобы вы могли войти в систему с локальной учетной записью администратора (или кэшированные учетные данные).
Эта проблема будет возникать каждый раз, когда вы делаете это, поэтому я бы посоветовал вам не иметь 2 машины с одинаковым именем. Если вам нужно поменять их местами, дайте им разные имена машин и настройте CNAME, чтобы они указывали на соответствующий работающий сервер.
Изменить для получения дополнительной информации
Если мы говорим, что старая рабочая машина - это машина A, а новая - машина B. Машина A и домен договорились о пароле, когда вы присоединили его к домену, это никак не связано с вашими паролями, вы не участвуете. И машина A, и домен знают этот пароль, и всякий раз, когда машина A связывается с доменом, она передает его и аутентифицируется. Все хорошо.
Когда вы отключаете компьютер A и присоединяетесь к компьютеру B, компьютер B пытается установить связь с доменом, но он не знает, какой пароль был согласован для компьютера A и домена, поэтому происходит сбой и отсутствует доверие. Единственный способ вернуть им доверие - это заставить их договориться о новом пароле, но вы должны принудительно применить это с помощью одной из упомянутых мной команд или путем удаления и повторного присоединения к домену. Все это требует, чтобы у пользователя были права на добавление вычислений в домене, было бы бесполезно, если бы вы могли просто перезапустить компьютер, и он работал, иначе любой мог бы добавить машину румян в домен и получить доступ к сети. Команды, которые я упомянул, должны выполняться только на машине, на которой возникла проблема, в основном они говорят домену, что ему необходимо заново создать пароль для этой машины, и вот мои учетные данные, чтобы доказать, что все в порядке.
Однако, как я уже говорил, это будет происходить каждый раз, когда вы меняете машины. Это не очень хорошая идея, как постоянное решение.
Это... не имеет никакого смысла. IP-адресация не имеет ничего общего с членством в домене.
Если вы заменяете компьютер на новый, новый не будет автоматически входить в домен только потому, что у него тот же IP-адрес (или имя), что и у старого; вам нужно присоединить его к домену, используя стандартную процедуру (изменить членство в домене в свойствах системы или использовать инструмент командной строки, например netdom).
И нет, вы не "восстанавливаете доверительные отношения". Вы присоединяете новую машину к домену.
Позвольте мне начать с того, что Массимо и Сэм сказали все правильно.
Фактический "ответ" на вашу проблему заключается в том, что вам нужно иметь два разных имени компьютера.
Рассказали ли вы о создании двух виртуальных машин с использованием программного обеспечения для виртуализации (например, VirtualBox) и настройке сетевых адаптеров в качестве NAT, чтобы обе виртуальные машины могли использовать в сети статический IP-адрес вашего хоста?
Опять же, имейте в виду, что IP-адрес не имеет ничего общего с нарушением доверия. Подключение двух компьютеров с одинаковыми именами к одному домену
Не делай этого. Пользователь без прав администратора по умолчанию может присоединить несколько компьютеров к домену (конкретное количество компьютеров, к которым может присоединиться пользователь без прав администратора, зависит от того, как администратор домена настроил активный каталог)
Поэтому, если вы "опробуете две разные конфигурации", то создайте разные виртуальные машины для каждой конфигурации, которую вам нужно попробовать. Вам нужно будет дать им разные имена машин, но на самом деле нет никаких причин, по которым использование разных имен машин будет препятствовать вам в тестировании. Если вам необходимо проверить, как групповая политика применяется к различным конфигурациям, просто присвойте каждой виртуальной машине свое имя компьютера и поместите их в свое подразделение в AD, а затем свяжите объект групповой политики с этим подразделением.
Суть в том, что вы не можете иметь две машины с одинаковыми именами, подключенные к одному домену. Я настоятельно рекомендую вам взглянуть на использование программного обеспечения для визуализации для тестирования сред сборки.