昨天我降级了一个 2003R2 DC(但忘记删除 DNS 角色),将其从域中删除,更改了它的 IP 地址并将其关闭。一切进展顺利(减去域中的大量身份验证问题,直到我将此 DC 的旧 IP 添加到它的替代 2008R2 DC 中)但我仍然在 DNS 中看到此 DC 的四个 SRV 记录。DNS 仍在显示 DC1 的 _ldap SRV 记录,每个记录位于:
DomainDNSZones->_sites->Default-First-Site-Name->_tcp
DomainDNSZones->_tcp
ForestDNSZones->_sites->Default-First-Site-Name->_tcp
ForestDNSZones->_tcp
DC1 未列在任何其他区域下,包括 _msdcs。
我可以简单地删除降级 DC 的这些 _ldap SRV 记录吗?
这可能表示您的环境中存在复制问题。您应该使用
repadmin并dcdiag确保没有复制问题。如果没有,您可能会考虑使用ntdsutil它来进行元数据清理,因为尽管向导已完成,但听起来降级可能并没有完全发生。十有八九,您可以安全地删除有问题的 SRV 记录,但它们可能只是更大问题的冰山一角。安全总比后悔好。
删除它们!
假设客户端需要在
Default-First-Site-Name站点中找到一个 ldap 端点。NetLogon 查询其 DNS 服务器
获取有关此类服务的信息。返回 DC1,客户端尝试解析 DC1,并且必须等待查询超时或返回 false。
现在它可以重新开始这个过程,旧记录因此导致性能下降;-)
如果您没有将该服务器用于 DNS,并且您的主机不必发出服务请求,您可以删除记录,或者简单地卸载 DNS