我知道如何降级一个域控制器(之前做过),但是我需要在一个比我之前做的更“重要”和严格控制的域上为两个物理老DC做这件事。 我的问题是,我应该运行哪些额外的检查,以确保在降级域控制器之后没有任何内容会中断。
有问题的域大多是虚拟化的(包括两个新的DC)。 其中一个新的DC已经有了一段时间的FSMOangular色,没有任何问题,它是该域的授权时间服务器。 当我运行dcdiag时,它只会失败一次testing(NCSecDesc)。 这个特定testing的失败是可以接受的,因为我们在这个领域永远不会有RODC。 所有成员服务器的DNS设置都指向新的DC。
作为一个降级前的实验 – 我可以将这些DCclosures一段时间,看看这个域在没有它们的情况下还能继续运行吗? 这不会导致复制问题或其他问题?
看来你已经想到了一切。
简单地closures它们会使AD最多只会让你感到厌烦,并且会在边缘情况下减缓一些操作。 没什么可以打破的
唯一的危险(从现有的信息来看,这是一个真正的危险并不清楚)我在这里看到的是,你的虚拟化平台可能依赖于你的AD(→虚拟DC)。 在你的虚拟化平台因为任何原因被取消之后,这会让你难以忍受; 因为存在循环依赖。
在这种情况下,您必须将两者分离,留下一个或多个物理DC,或者做好维护计划或如何从灾难中恢复。
与大多数情况一样,您应该采取的最好的(也是第一个)预防措施是确保您有适当的备份,并进行了恢复testing 。
否则,在降级域控制器之前,我想不出任何需要采取的预防措施。 你运行(并通过)dcdiag,你不降级FSMOangular色的持有者,他们不是域中的最后一个区议会,你的其他区议会工作,你的客户指向你不会降级的区议会。
假设你正在降级2003年的DC,我唯一要做的就是保留强制降级域控制器的指令 ,因为它们有时并没有明显的原因优雅地降级 。 而且,为了特别小心,也许是从AD中删除失败DC的说明 ,以防事情真的出错。
说到小心,至less有99次是100次,降级域控制器就顺利了,所以不应该被认为是特别危险或有风险的。
一个古老的线程位,但我虽然我会张贴我的经验,因为我现在正在降级。
采取至less2个直播DC的AD(系统状态)备份
运行DCDiag和DCDiag /test:DNS并在您的所有现场DC上进行repadmin /replsummary ,以确保一切正常。
把他们从networking上拿走几天,看是否有什么事情发生(我们有一个身份validation系统在一个我们忘记的DC上使用LDAP)。 在关联到AD时,您将看到AD复制和RPC不可用的错误,但是这样可以。
最后一个一个地做几个小时,以确保复制成功。
不要去了解可能在DC上使用的其他服务(DNS,DHCP,WINS,LDAP等)