我以域管理员身份登录时执行了以下所有操作。
我有两个 AD 站点,每个站点都有自己的域控制器。“备份”域控制器通过站点到站点 VPN,允许所有流量,并且是该 AD 站点/子网中的唯一服务器。意识到通过站点到站点 VPN 在它自己的子网上单独拥有这个域控制器是没有意义的,我在与原始域控制器相同的站点/子网中启动了第三个域控制器。
我把它放了几天,让所有三个同步——确保 repadmin /showrepl 和 repadmin /replsummary 都显示成功的结果。耶!在降级服务器之前(在站点到站点 VPN 另一端的 AD 站点/子网中),我确保所有其他加入域的成员服务器的 DNS 都指向原始 DC,而我的新创建了第 3 个 DC,并确保原始 DC 担任所有 FSMO 角色(确实如此)。所以此时我有 3 个 DC,所有 GC。
我首先将远程 AD 站点中的服务器降级(我确实选中了“强制删除此域控制器”复选框),重新启动,然后再次重新运行添加/删除角色以删除添加角色,并重新启动。看到“SUCCESSFULLY DEMOTED”提示(如下截图)后,我认为一切都很好。然后我从域中删除了成员服务器并重新启动。在降级和删除 ADDS 角色之前,我什至检查了服务器是否打开了必要的防火墙端口以进行正确的 AD 通信:
- TCP 53 (DNS)
- TCP 88(Kerberos 密钥分发中心)
- TCP 135(远程过程调用)
- TCP 139(NetBIOS 会话服务)
- TCP 389 (LDAP)
- TCP 445(SMB,网络登录)
- TCP 464(Kerberos 密码)
- TCP 3268(全局目录)
- TCP 49152 – 65535(随机分配的高端口)
- UDP 53 (DNS)
- UDP 88 (Kerberos)
- UDP 123 (NTP)
- UDP 389 (LDAP)
- UDP 445
- UDP 464
因为它是“成功降级”,我预计不会在域控制器 OU 或 AD 站点和服务中看到这个降级/ADDS-role-removed/dejoined-from-domain 服务器,但它确实存在。它甚至有令人惊讶的 NTDS 设置——我只读服务器的大多数线程仍然存在,但它下面没有 NTDS 设置。
有人想吗?请提供相关链接以帮助您发表评论。非常感谢!!
如果这个问题不是格式化属性,请道歉。我几乎把头发扯断了,试图弄清楚所有的格式,然后就放弃了!!!!
从其余域控制器上的命令提示符运行以下命令:
nltest /dclist:YourDomain
如果他们都对存在哪个 DC 有一致的看法,并且没有一个列出降级的 DC,那么只需在 ADUC、ADS&S 和 DNS 中手动清理降级的 DC。