我正在将系统中的服务器从 更改Server 2012 R2为Server 2016. 对于 DC,我认为最好的计划是:
create a `new 2016 DC`
replicate from the `current primary 2012 R2 DC`
transfer the primary roles to the `new 2016 DC`
then decommission the `2012 R2 DC` that is being replaced.
then create a new 'backup 2016 DC'
然而,当我开始这个过程时,我的当前backup 2012 R2 DC有很多问题,我想简单地将它从域中删除,因为它无论如何都会被替换。
我看过很多关于移除 DC 的指南,但我不清楚实际发生了什么。我是否假设在这些指南中删除的 DC 必然是在谈论备用 DC?我假设这是因为删除最后一个 DC 会结束域,对吗?
我问这个问题的原因是我最初想摆脱 ,messed up backup DC以便我可以primary DC恢复健康并准备复制到我的new 2016 DC. current primary DC我担心如果它保留与当前关系的任何工件,我将无法修复它messed up backup DC。我注意到当我在当前 PDC 上运行 dcdiag 时,如果 BDC 至少不在线,它就会挂起。这让我担心如果我不删除与messed up BDC.
因此,我的问题是,我如何确保backup DC完全退役而其余primary DC部分再次“独立”,即删除其与 BDC 关系的所有残余。
我的 DC 运行一切:ADDS、DNS、DHCP
(这是从这里开始的后续帖子)
这个问题非常广泛,缺乏重点——所以很难回答。但我会尝试,把它分解成小块。
这个过程被称为“降级”。您将域控制器降级以摆脱它。过去,这是通过
dcpromo.exe. 今天,您可以使用 PowerShellUninstall-ADDSDomainController或服务器管理器 GUI 来完成。您总是希望获得“优雅”的降级。也就是说,所有必需的网络连接和 AD 复制都在工作的降级,以便辅助域控制器可以通知域中的其他域控制器它正在降级。
但有时,如果网络连接中断或复制中断,以至于您希望降级的域控制器无法与其他 DC 通信,那么您将不得不“强制”或“不正常”降级 DC。这是
dcpromo.exe /forceremoval过去完成的,但在较新的操作系统中,您可以将-Force参数与上述 PowerShell cmdlet 一起使用,或者检查服务器管理器 GUI 中的“强制删除”选项。“强制”或“不正常”的 DC 降级的缺点是它会将元数据留在必须手动清理的其余 DC 上的 Active Directory 中。这是因为其他 DC 不知道退役的 DC 被降级了——它只是“消失了”。但这没关系——清理旧的域控制器元数据是一个有据可查的过程,您不必害怕。
我不确定这是最好的计划。在我看来,执行此计划后,您将不得不手动重新配置网络上的所有客户端,以使用新域控制器的新 IP 地址作为 DNS 解析器。如果您有 10 个客户,可能没什么大不了的。但如果你有 1000 多个,那就更重要了。
什么样的问题?这种说法让我害怕,因为它表明我们对环境的了解不够好,无法描述它所处的状态。如果没有这些知识,就很难知道要采取什么行动以及要避免什么行动。
如前所述,当您将域控制器降级时,它会从 Active Directory 中删除 DC 元数据。诸如复制连接对象、DNS 记录、ntDSDSA(NTDS 设置)对象等。这会在正常降级中自动发生。在强制移除中,您必须自己清理它。
是的,从域中删除最后一个域控制器会消除该域的存在。
在多域林中,这也需要从子域到父域的相同连接。您必须通知父域子域即将再见。
再说一次,我担心你可能本末倒置。我们不知道您所说的这些“问题”是什么,但最好先让您的 AD 域恢复正常工作,然后再着手重新构建它。
我将首先尝试优雅地降级您的辅助域控制器,然后在您现有的域控制器上验证来自退役 DC 的 NTDS 设置对象已消失,并且
dcdiag您的目录服务日志中或目录服务日志中没有严重错误。如果 DC 不能正常降级,则强制它,并使用我之前链接的过程自己清理元数据。如果降级后剩余的 DC 超过 1 个,请确保复制正常且完整,然后再继续重新提升任何新的 DC。(如果您只剩下 1 个 DC,则没有复制。)
要快点,但不要急于犯错。仅使用单个域控制器运行是有风险的,因此您希望备份并运行第二个域控制器。
高温高压