none
Active Directoryからコンピュータを削除してしまった RRS feed

  • 質問

  • Windows server 2008R2 Datacenterのコンピュータ名(comp1とします)を、誤って削除してしまいました。

    すぐにAdrestoreをすればよかったのですが、AD上で再度コンピュータを作成してしまいました。そのため、Adrestoreを

    行っても、作成してしまったコンピュータオブジェクトしか復旧できません。

    現在AD上に存在するcomp1には、DNS名が表示されていない状態であり、comp1にログインしようとすると、”サーバーのセキュリティ データベースに

    このワークステーションの信頼関係に対するコンピュータ アカウントがありません”と表示され、ログインできません。

    comp1はHyper-Vを構築しておりますが、Hyper-vのゲストには、ドメイン環境を維持して直接RDP接続できます。

    AD上のコンピュータオブジェクトにDNSを反映させるには、どうすればよいでしょうか。


    • 移動 星 睦美 2013年3月27日 1:13 ADに関する質問
    2013年3月19日 8:20

回答

  • 基本的にはcomp1をドメインに再度参加させ、コンピュータアカウントを再作成、パスワードを初期化する必要があります。参加させる過程でcomp1の再起動が必要となります。

    コンピュータアカウントのパスワードは通常ランダムな値となっているため、コンピュータアカウントの復活ができない場合は、上記のとおり再度作成しなおすしかないです。
    2013年3月19日 16:29

すべての返信

  • 基本的にはcomp1をドメインに再度参加させ、コンピュータアカウントを再作成、パスワードを初期化する必要があります。参加させる過程でcomp1の再起動が必要となります。

    コンピュータアカウントのパスワードは通常ランダムな値となっているため、コンピュータアカウントの復活ができない場合は、上記のとおり再度作成しなおすしかないです。
    2013年3月19日 16:29
  • すでにお答えされていますが、
    Adrestore では(コンピュータオブジェクトの削除の場合)したのMS以外の掲示板の(過去ログ)より、該当のPCよりは、ドメインにログオンできないと申告があったことは記憶にあります。
    http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=48662&forum=6

    したのMSのブログでは
    http://blogs.technet.com/b/jpntsblog/archive/2009/06/05/3250724.aspx
    破損したセキュアチャネルを復旧させるためには、ドメイン離脱・再参加をさせる必要がある。

    従来の考え方では、アカウントを削除する直前のシステム状態のバックアップから、ntdsutilコマンドのauthoritative restoreサブコマンドを実行し、復元対象のCN(オブジェクト)をauthoritativeとマークし、他のDCにレプリケートされるの原則論ですが、(システム状態のバックアップをとっていない場合でも)、Active Directoryのゴミ箱(フォレストの機能レベルを2008 R2に上げることができる場合は)を有効にして、Ldp.exeを使用して[CN=Deleted Objects]コンテナーを表示することにより、またはWindows PowerShell 用 Active Directory モジュールの Get-ADObject と Restore-ADObject コマンドレットにより削除された Active Directory オブジェクトを復元するのがOSの機能しては標準的な方法ではないかと。細かい手順はしたのMSの資料をみてください。(それでも[コンピュータオブジェクトの場合]セキュアチャネルの破損によりドメイン離脱・再参加をさせる必要性は想定され得ます。)
    http://technet.microsoft.com/ja-jp/library/dd379542%28v=ws.10%29.aspx
    http://technet.microsoft.com/ja-jp/library/dd379509%28v=ws.10%29.aspx

    <補足>
    もし、AD上で手動で再度、作成したコンピュータ名とAdrestoreを行って復元したコンピュータ名のSIDが重複して、セキュリティ識別子 ( SID ) イベントが記録されているならしたに対処方法があります。

    重複した SID を生成するドメイン コントローラへの対処方法
    文書番号: 419021 -
    http://support.microsoft.com/kb/419021/ja


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)






    2013年3月20日 6:24
  • TAKAHASHI さま

    早速のご回答有難うございました。ご回答を拝見し、一度WORKGROUPに入り、再度ドメインに入ったところ、AD側は操作する事なくドメインに入れるようになりました。

    本当にありがとうございました。

    2013年3月21日 1:32
  • 試験問題作成委員会様

    ご回答を頂き、誠にありがとうございます。昨日、一度WORKGROUPに入り、再度ドメインに参加したところ、AD側は操作することなく再度ドメインに入れるように

    なりました。頂いたご回答は、プリントアウトの上熟読致します。ありがとうございました。

    2013年3月21日 1:33