这是我的情况:
我继承了一个只有 1 个域控制器的 Windows 2003 域,我们称之为 DC1。DC1 也是该组织的 DNS、DHCP 和 Exchange 服务器。DC1 最初是小型企业服务器,但后来升级到了 Server 2003 Standard。
曾经有一个名为 DC2 的第二个域控制器和 DNS 服务器,但它崩溃了,并且从未从域中完全删除。我已使用 ntdsutil 删除 DC2 元数据并删除了 Active Directory 中的计算机帐户,但对 DC2 的名称服务器 (NS) 和授权开始 (SOA) 引用分散在我的 DNS 正向查找区域中。
我有一个全新的 Exchange 2007 服务器正在替换当前的 DC1(Exchange 2003、DNS、DHCP、DC)。因此,我需要完成以下任务:
- 将域上的新服务器提升为域控制器。
- 将 FSMO 角色从 DC1 转移到新的域控制器。
- 在新的域控制器上安装 DNS 和 DHCP。
- 从 DC1 中删除 DNS 和 DHCP 角色并将其从域中删除。
- 在我的新 Exchange 2007 服务器就位后,重新加载 DC1 并将其变成辅助域控制器和 DNS 服务器。
我担心在计划的第 3 步中,我最终会将错误的 DNS 记录复制到我的新域控制器。在将现有 DNS 复制到新服务器之前清理它的最佳方法是什么?似乎最好有一个干净的正向查找区域,但我并不真正了解该区域是如何工作的。
我已经打开了 DNS 清理,但它似乎永远不会清理对 DC2 的任何引用,即前段时间失败的域控制器和 DNS 服务器。我可以删除整个正向查找区域吗?它会重新创建自己吗?
有人可以向我解释正向查找区域中的不同容器(_msdcs、domain.local、zone.domain.local)是什么吗?
您需要在服务器级别和域级别启用清理。检查两者的属性以启用清理或自己删除特定记录。
这是你绝对不想做的。一旦你的新 DC 安装了 DNS,请确保你的域是 AD 集成的,并将其设置为复制到所有域或林 DNS 服务器。我更喜欢所有的森林,但那只是我。当您停用旧 DC 并删除所有内容时,请确保将所有客户端和服务器重新指向新的 DNS 服务器 IP 地址。我建议将它们并行运行一段时间,以使所有客户端和服务器更新为使用新 IP,而旧 IP 仍然可用。
您在将当前 DC 重建为第二个 DC 方面绝对是正确的。您总是希望有 2 个 DC 和 2 个 DNS 服务器用于 AD 基础架构。我个人坚持至少有一个是物理 DC 而不是两个都虚拟化。
如有疑问,请保留。如果事情按预期工作并且您不想破坏它们,那就让睡狗躺下。如果有你知道是坏的记录,删除它们,但只有你知道它们做什么的记录,并且只有当你知道它们是多余的事实时。
_msdcs _sites _tcp _udp 是对 Active Directory 至关重要的 DNS 区域,它们包含 AD 自身的服务记录。其他区域将包含您网络上的计算机等信息。
因此,如果您需要删除正常 DNS 区域中的不良记录,那很好。其他领域是可能出现问题的地方。但是,如果您确实发现 AD 的 DNS 记录有问题,您可以通过
netdiag/fix从命令行运行来修复它们。