Новый сервер ADDS запрашивает у пользователей новые пароли, но говорит, что это неверно, пользователи могут войти в систему только со старым паролем
В моей организации был Windows 2000 Server Ed. Также установлен контроллер домена с ролью DNS. Он обслуживал 5 других серверов и около 15 рабочих станций. Несколько месяцев назад материнская плата вышла из строя, и, поскольку это был довольно старый сервер, мой руководитель предложил установить более новую версию Windows Server (наконец-то! ) на только что приобретенном Intel NUC5i3MYHE с намерением установить на нем некоторые легкие серверные роли (файловый сервер, DNS, внутренний веб-сервер и т. д.).
Установка Server 2012 R2 на коробку прошла гладко, как и добавление ролей AD DS и DNS, а также повышение до контроллера домена (поскольку существующий домен теперь был отключен из-за сбоя старого сервера, я установил для нового контроллера домена то же имя домена и выбрал параметр «Новый лес» во время dcpromo. исполняемый файл).
Когда я впервые подключил новый контроллер домена к локальной сети, у нас были проблемы с людьми, которые не могли войти в свои компьютеры. Я осознал свою ошибку (у меня довольно беспокойный рабочий день в среднем), не настроив учетные записи пользователей в AD, и поэтому сразу отключил ее, в это время мои конечные пользователи смогли снова войти на свои рабочие станции, используя свои старые учетные записи (кэшированные на их локальных компьютерах как «автономные файлы»). К сведению, я еще не настраивал зоны прямого и обратного просмотра в DNS. Насколько я понимаю, мне сначала нужно, чтобы AD DS работал, а он, по-видимому, не работает (во всяком случае, на 100%).
Пару дней спустя я установил для всех те же имена пользователей, которые были у них до сбоя исходного DC, с некоторые требуют новых паролей для соответствия требованиям сложности. Вот где загвоздка.
Европейцы, у которых уже были пароли, отвечающие требованиям сложности, не имели проблем со входом в систему, используя свои классические пароли. Но для тех, чей пароль нужно было изменить, они получают сообщение при входе в свою старую учетную запись, что-то вроде " https://technet.microsoft.com/en-us/library/cc735842 (v = ws.10) .aspx
... но когда я перехожу по найденной там ссылке для устранения неполадок AD DS, требуется меня на общую страницу «Удаленное содержимое Windows Server 2003/2003 R2», которая является своеобразной, потому что это была машина 2012 R2, которая сгенерировала идентификатор ошибки 4013, и да, это был правильный код по ссылке (совпадающее словоблудие с моего сервера).
Я несколько раз пытался войти и выйти на нескольких рабочих станциях, с разными учетными данными, и безуспешно, я могу войти в домен только со старыми паролями. Если кто-нибудь может указать мне правильное направление, я был бы очень благодарен, я действительно не так много работаю с AD DS, поскольку моя роль в компании с годами сместилась с сетевого администратора на более похожую на веб-разработчика роли. У меня есть журналы событий, которые я могу дать вам всем, если это поможет, другие предупреждения были RE: ADWS (веб-службы), которые, я не уверен, полезны, поэтому я не включил их, но дайте мне знать! Заранее благодарим за ваши предложения!
Вы не воссоздали свой старый домен, вы создали домен, который имеет имена, схожие со старым доменом.
Как вы подозреваете, ваши люди продолжают входить в систему с учетными записями, кэшированными на старый домен. Когда они это делают, если вы посмотрите в журналы регистрации событий на их машинах и DC, вы увидите проблемы.
Вам нужно, чтобы каждый ПК "вышел" из старого домена и "присоединился" к новому домену.
Убедитесь, что у вас есть пароль локального администратора на каждом ПК, прежде чем это делать.
Как только ПК присоединятся к домену, и пользователи войдут в "новый" домен, они получат новый пользовательский профиль. Строка будет выглядеть так:
C:\Users\username
c:\users\username.domainname <- это ваш новый пользовательский профиль
Это может сделать людей (и вас) очень недовольными. Используйте ForensIT для исправления своего профиля. Бесплатная версия отлично работает, если запускать ее по отдельности на каждой рабочей станции
Если у них были кэшированные в автономном режиме копии файлов с общих папок, то вам нужно сделать некоторую очистку.
Измените свое мнение о том, что "я ремонтирую домен" на "я перемещаю все в новый домен, и спасаю все, что могу"
.Вы сами создали эту проблему, не следуя двум самым важным правилам Active Directory:
- Никогда не используйте только один контроллер домена. Два - это абсолютный минимум.
- Регулярно выполняйте резервное копирование контроллеров домена с помощью утилиты резервного копирования, знакомой с Active Directory.
Если у вас нет резервной копии старого контроллера домена, остается ли у вас жесткий диск? Подключите его к другому компьютеру и загрузите. Запустите его снова. Затем сотрите новый контроллер домена и начните сначала, но на этот раз добавьте его в качестве дополнительного контроллера домена к вашему домену.
Если вы не можете этого сделать, то вам нужно будет подключить все компьютеры в ЕС к новому домену, который вы создали.
И даже не пытайтесь запустить меня на вашем компьютере, который вы выбрали для своего контроллера домена. Intel NUC? Ты пытаешься настроиться на сбой?