当 Active Directory 域控制器成为域中的孤儿时,是否可以将其配置为继续作为健康的 DC 运行,而无需经历强制降级、然后重新加入和提升它的过程?
考虑以下会导致孤立 DC 的场景:
- 域中存在两个域控制器 DC1 和 DC2。
- DC2 暂时关闭。
- 添加了一个新的 DC,DC3。
- DC1 永久关闭。
- DC2 重新联机。
在这一点上,DC02 已经失去了进入域的唯一联系点。DNS 区域肯定会过期,没有 DC03 的条目。复制也将失败,因为它只知道来自 DC01 的复制链接不再存在。假设 DC1 持有 FSMO 角色,它也会对当前持有 FSMO 角色的服务器有不正确的引用。
那么,是否可以手动重新构建链接,以便 DC02 无需从头开始即可开始与 DC03 通信?
当然它可能会起作用,但为什么要冒着让 DC2 用过时的信息毒害你的 AD 的风险呢?
DCPROMO de-promote 重启/DCPROMO 促进重启几乎不是一项艰巨的任务。而在 ADSI 中手动编辑内容并伪造 DNS 并不好玩!