重建信任關係
我在一個通過靜態 IP 進行通信的網路上。
我需要定期更換機器,也就是說拔下一台機器,比如說:10.50.5.1 並在它的位置插入一台新機器,具有相同的靜態 10.50.5.1 IP。
我剛剛插入網路的這台機器不會建立信任關係。有沒有快速重建信任關係的方法?
編輯:
澄清一下,兩台機器都設置了相同的 IP 和域資訊,因此在任何給定時間只有一台機器可以在域上。我只是在切換哪個插入網路。但他們都始終認為自己是域的成員。
所以我沒有更改“系統屬性”>“電腦名”>“電腦名/域更改”中的任何內容,那麼我該如何重新建立與新添加的電腦的信任關係?
您遇到的問題與 IP 無關,這是因為您有 2 台同名機器。一個機器名只能有一個 AD 電腦對象,並且這個電腦對像有一個密碼,這個密碼是當你加入域時 DC 和電腦之間協商的,它不是你輸入的,它是由域配置的。
當您將機器換成具有相同名稱的另一台機器時,您會遇到此問題。這台新機器不知道已經協商好的密碼,DC 不會信任它。
有幾種方法可以解決它。一種方法是從域中刪除並重新加入機器,這將重新創建信任。另一種是執行以下命令之一:
電源外殼
Reset-ComputerMachinePassword -Server <Name of any domain controller> -Credential <domain admin account>
命令行
NETDOM RESETPWD /Server:<name of any domain controller> /UserD:<domain admin account> /PasswordD:*
這兩種方法都要求您能夠使用本地管理員帳戶(或記憶體的憑據)登錄。
每次執行此操作時都會出現此問題,因此我建議您避免使用 2 台具有相同名稱的機器。如果您需要交換它們,請給它們不同的機器名稱並設置 CNAME 以指向適當的實時伺服器。
編輯以獲取更多資訊
如果我們說舊的工作機器是機器A,而新的機器是機器B。機器A和域在你加入域時已經協商了一個密碼,與你的任何密碼無關,你沒有參與。機器 A 和域都知道此密碼,並且每當機器 A 與域通信時,它都會通過此密碼並進行身份驗證。一切都很好。
當您斷開機器 A 並加入機器 B 時,機器 B 嘗試與域對話,但它不知道機器 A 和域同意的密碼,因此失敗並且沒有信任。讓他們再次信任的唯一方法是讓他們協商一個新密碼,但您必須使用我提到的命令之一或通過刪除並重新加入域來強制執行此操作。所有這些都要求使用者擁有添加域計算的權限,如果您只能重新啟動機器並且它可以工作,否則任何人都可以將胭脂機器添加到域並訪問網路,這將是不好的。我提到的命令只需要在有問題的機器上執行,它基本上告訴域它需要用這台機器重新創建密碼,這是我的憑據來證明它是好的。
但是,正如我提到的,每次更換機器時都會發生這種情況。作為永久解決方案,這不是一個好主意。