Новый сервер ADDS запрашивает у пользователей новые пароли, но говорит, что это неверно, пользователи могут войти только со старым паролем
В моей организации был Windows 2000 Server Ed. Контроллер домена с ролью DNS также установлен. Он обслуживал 5 других серверов и около 15 рабочих станций. Несколько месяцев назад материнская плата вышла из строя, и, поскольку в любом случае это был довольно старый сервер, мой супервизор предложил установить более новую версию Windows Server (наконец-то!) На Intel NUC5i3MYHE, которую мы только что приобрели, с намерением установить некоторое освещение. роли сервера на нем (файловый сервер, DNS, внутренний веб-сервер и т. д.).
Установка Server 2012 R2 на коробке прошла гладко, как и добавление ролей AD DS и DNS, а также продвижение на контроллер домена (поскольку существующий домен был отключен из-за сбоя старого сервера, я установил новый DC таким же доменное имя и выбрал опцию "Новый лес" во время dcpromo.exe).
Когда я впервые подключил новый DC к локальной сети, у нас были проблемы с людьми, которые не могли войти на свои компьютеры. Я осознал свою ошибку (у меня довольно беспокойный средний рабочий день), когда я не настраивал учетные записи пользователей в AD, и поэтому быстро перевел ее в автономный режим, когда мои конечные пользователи смогли снова войти в свои рабочие станции, используя свои старые учетные записи. (кэшируется на локальных компьютерах как "автономные файлы"). Для записи, я еще не настроил зоны прямого и обратного просмотра в DNS. Как я понимаю, сначала нужно, чтобы AD DS работала, и она, по-видимому, не работает (во всяком случае, на 100%).
Пару дней спустя я заставил всех настроить свои имена пользователей, которые были у них до сбоя исходного DC, а некоторым требовались новые пароли для соответствия требованиям сложности. Вот где загвоздка.
У тех стран ЕС, у которых уже были пароли, отвечающие требованиям сложности, не возникло проблем при входе в систему с использованием своих классических паролей. Но для тех, чей пароль должен был измениться, они получают сообщение при входе в систему со своей старой учетной записью, что-то вроде "Пожалуйста, заблокируйте этот компьютер и войдите в систему, используя текущие учетные данные домена", которое они пробуют, но их машины (XP SP3 и W7, Pro Eds) не позволят им вводить новые пароли, используя их классические имена пользователей.
Я действительно не хочу устанавливать новый раунд имен пользователей и паролей для каждого пользователя, но боюсь, что те, чьи пароли не изменились, вообще не входят в новый DC, а скорее в свои старые "автономные файлы", "и пользователи, чьи пароли изменились, могут получить доступ к рабочему столу / Моим документам, но только путем ввода своего классического пароля и доступа к локально кэшированным автономным файлам.
Кстати, я заметил в своем журнале событий на новом сервере ошибку с кодом 4013, информацию о которой я нашел здесь: https://technet.microsoft.com/en-us/library/cc735842(v=ws.10).aspx
... но когда я перехожу по ссылке для устранения неполадок с AD DS, найденной там, я перехожу на общую страницу "Удаленное содержимое Windows Server 2003/2003 R2", что необычно, потому что это был компьютер 2012 R2, который генерировал код ошибки 4013 и да, это было правильно по ссылке (совпало с моего сервера).
Я несколько раз пытался войти в систему и выйти из нее на нескольких рабочих станциях, используя различные учетные данные, и мне не повезло, я могу войти только в домен со старыми паролями. Если кто-то может указать мне правильное направление, я был бы очень признателен, я действительно не имею дело с AD DS так сильно, как моя роль в компании с годами сместилась от Network Admin к более похожему на Web Dev роли. У меня есть Журналы событий, которые я могу дать вам всем, если это поможет, другие предупреждения были RE: ADWS (веб-сервисы), которые, я не уверен, полезны, поэтому я не включил их, но дайте мне знать! Заранее спасибо за ваши предложения!
2 ответа
Вы не воссоздали свой старый домен, вы создали домен, имена которого похожи на старый домен.
Как вы подозреваете, ваши люди продолжают входить с учетными данными, сохраненными в старом домене. Когда они это сделают, если вы посмотрите в журнале событий на их компьютерах и в DC, вы увидите проблемы.
Вам нужно, чтобы каждый ПК "вышел" из старого домена и "присоединился" к новому домену.
Убедитесь, что у вас есть пароль локального администратора на каждом ПК, прежде чем связывать это.
Как только компьютеры присоединяются к домену и пользователи входят в "новый" домен, они получают новый профиль пользователя. Это будет выглядеть так:
C: \ Users \ имя пользователя
c:\users\username.domainname <- это ваш новый профиль пользователя
Это может сделать людей (и вас) очень несчастными. Используйте ForensIT, чтобы исправить их профиль. Бесплатная версия прекрасно работает, когда запускается индивидуально на каждой рабочей станции.
Если у них были автономные кэшированные копии файлов из общих папок, вам нужно провести там очистку.
Измените свое представление о "Я восстанавливаю домен" на "Я перенесу все на новый домен и спасу то, что могу".
Вы создали эту проблему для себя, не следуя двум самым важным правилам Active Directory:
- Никогда не иметь только один контроллер домена. Два - это абсолютный минимум.
- Регулярно делайте резервные копии контроллеров домена с помощью утилиты резервного копирования с поддержкой Active Directory.
Если у вас нет резервной копии старого контроллера домена, у вас все еще есть жесткий диск? Подключите его к другому компьютеру и загрузите его. Получите это снова работает. Затем удалите новый контроллер домена и начните с него заново, но на этот раз добавьте его в качестве дополнительного контроллера домена в свой домен.
Если вы не можете этого сделать, вам нужно будет присоединить все ваши компьютеры в ЕС (независимо от того, что это такое) к новому домену, который вы создали.
И даже не заводите меня на выбор компьютера для контроллера домена. Intel NUC? Вы пытаетесь настроить себя на неудачу?