我知道如何降级域控制器(以前做过),但我需要在一个比我之前做的更“重要”和严格控制的域上为两个物理旧 DC 做这件事。我的问题是我应该运行哪些额外的检查以确保在我降级域控制器后不会中断。
有问题的域主要是虚拟化的(包括两个新的 DC)。其中一个新的 DC 已经拥有 FSMO 角色一段时间了,没有任何问题,它是域的权威时间服务器。当我运行 dcdiag 时,它只失败了一项测试 (NCSecDesc)。这个特定测试的失败是可以接受的,因为我们永远不会在这个域上拥有 RODC。所有成员服务器的 DNS 设置都指向新的 DC。
作为降级前的实验 - 我可以关闭这些 DC 一段时间以查看域在没有它们的情况下继续运行吗?这不会导致复制问题或其他问题吗?
似乎你已经想到了一切。
简单地关闭它们最多会使 AD 对你犹豫不决,并且可能会在极端情况下减慢一些操作。什么都不应该打破。
我在这里看到的唯一危险(从可用信息中不清楚这是否真的危险)是您的虚拟化平台可能依赖于您的 AD(→ 虚拟化 DC)。无论出于何种原因,在您的虚拟化平台关闭/被关闭后,这都会给您带来沉重的打击;因为存在循环依赖。
在这种情况下,您必须将两者解耦,留下一个或多个物理 DC,或者做好维护或如何从灾难中恢复的计划。
与大多数事情一样,您应该采取的最好的(也是首要的)预防措施是确保您有正确的备份,并且它们是经过还原测试的。
否则,我想不出在降级域控制器之前需要采取的任何预防措施。您运行(并通过)dcdiag,您没有降级 FSMO 角色持有者,它们不是域中的最后一个 DC,您的其他 DC 工作,并且您的客户端指向您不会降级的 DC。
假设您要降级 2003 DC,我唯一要做的另一件事就是将强制降级域控制器的说明放在手边,因为它们有时不会无缘无故地优雅降级。而且,只是为了格外小心,也许是从 AD 中删除失败的 DC 的说明,以防万一出现问题。
说了这么多要小心,至少有 99 次(100 次)降级域控制器会顺利进行,因此不应将其视为特别危险或冒险。
有点老线程,但我想我会发布我的经验,因为我现在正在降职。
对至少 2 个实时 DC 进行 AD(系统状态)备份
在您所有的实时 DC 上运行
DCDiag和运行DCDiag /test:DNS,repadmin /replsummary以确保一切正常。让他们离开网络几天,看看是否有任何问题(我们在一个我们忘记的 DC 上有一个使用 LDAP 的身份验证系统)。在与它们相关的过程中,您会看到 AD 复制和 RPC 不可用错误,但这没关系。
最后一次做一个,中间间隔几个小时,以确保复制成功。
不要了解可能在 DC 上使用的其他服务(DNS、DHCP、WINS、LDAP 等)