PnP Asked: 2013-07-28 10:02:10 +0800 CST2013-07-28 10:02:10 +0800 CST 2013-07-28 10:02:10 +0800 CST 您需要 GC 在线到 DCPromo 吗? 772 我们继承了一位客户,他在审核他们的站点后发现他们曾经有一个站点到站点 VPN 和端点上的另一个 DC(这是森林中唯一的 GC)。以前的 IT 公司将其降级,清理了 AD,但从未将他们现在的主要 DC 设为 GC。 我们想用2008R2的盒子替换他们当前的DC(2003),最好先使当前的DC成为GC然后dcpromo新的DC,还是没关系?请记住,新的 DC 将成为 GC。 active-directory 1 个回答 Voted Best Answer Ryan Ries 2013-07-28T10:12:57+08:002013-07-28T10:12:57+08:00 我会建议(微软也是如此)你将所有域控制器都设置为全局目录,除非你有充分的理由不这样做。 您需要对域的 RID Master FSMO 角色持有者进行网络访问,然后才能提升可写域控制器。否则,只能创建一个 RODC,我猜这不是您想要的。 但要更直接地回答您的问题,域控制器不需要将全局编录提升到现有域中。 编辑:我已经通过实验室测试验证了我能够将一个新的域控制器提升到一个现有的域中,并且只需要一个在线托管 RID FSMO 的非 GC 域控制器。其他 4 个 FSMO 已关闭,并且没有启动全局编录。 这里有一些来自精彩的AskDS 博客的更多信息,关于您需要在线全局目录的其他原因,即使在单域林中也是如此: 问题 如果我的林中只有一个域,是否需要全局目录?大量文件表明情况确实如此。 回答 所有那些说“仅限多域”的文件都是错误的。您需要 GC - 即使在单域林中 - 用于以下内容: • 相反,如果您启用了 IgnoreGCFailures ( http://support.microsoft.com/kb/241789 );如果没有 GC,打开它会从用户安全令牌中删除通用组,这意味着他们将登录但无法访问他们之前正常访问的资源)。 • 如果您的用户使用UPN 登录并尝试更改他们的密码(他们仍然可以使用UPN 或NetBiosDomain\SamAccountName 样式登录在单个域林中登录)。 • 即使您使用通用组成员缓存来避免站点中的 GC,该 DC 也需要 GC 来更新缓存。 • 部署了 MS Exchange(如果没有 GC,所有版本的 Exchange 服务甚至都无法启动)。 • 使用shell 中的内置查找来搜索AD 以查找已发布的共享、已发布的DFS 链接、已发布的打印机或任何提供“整个目录”选项的对象选择器对话框都会失败。 • DPM 代理安装将失败。 • AD Web 服务(又称 AD 管理网关)将失败。 • CRM 搜索将失败。 • 可能是我不知道的其他第三方。
我会建议(微软也是如此)你将所有域控制器都设置为全局目录,除非你有充分的理由不这样做。
您需要对域的 RID Master FSMO 角色持有者进行网络访问,然后才能提升可写域控制器。否则,只能创建一个 RODC,我猜这不是您想要的。
但要更直接地回答您的问题,域控制器不需要将全局编录提升到现有域中。
编辑:我已经通过实验室测试验证了我能够将一个新的域控制器提升到一个现有的域中,并且只需要一个在线托管 RID FSMO 的非 GC 域控制器。其他 4 个 FSMO 已关闭,并且没有启动全局编录。
这里有一些来自精彩的AskDS 博客的更多信息,关于您需要在线全局目录的其他原因,即使在单域林中也是如此: