我的情况如下:
我继承了一个只有 1 个域控制器的 Windows 2003 域,我们将其称为 DC1。DC1 也是此组织的 DNS、DHCP 和 Exchange 服务器。DC1 最初是小型企业服务器,但在某个时候升级到了 Server 2003 Standard。
曾经有第二个域控制器和 DNS 服务器称为 DC2,但它崩溃了,并且从未从域中彻底删除。我使用 ntdsutil 删除了 DC2 元数据,并删除了 Active Directory 中的计算机帐户,但对 DC2 的名称服务器 (NS) 和授权起始 (SOA) 引用分散在我的 DNS 正向查找区域中。
我有一台全新的 Exchange 2007 服务器,即将替换当前的 DC1(Exchange 2003、DNS、DHCP、DC)。因此,我需要完成以下任务:
- 将域中的新服务器提升为域控制器。
- 将 FSMO 角色从 DC1 转移到新的域控制器。
- 在新的域控制器上安装 DNS 和 DHCP。
- 从 DC1 中删除 DNS 和 DHCP 角色并将其从域中删除。
- 我的新 Exchange 2007 服务器到位后,重新加载 DC1 并将其转变为辅助域控制器和 DNS 服务器。
我担心在计划的第 3 步中,我最终会将错误的 DNS 记录复制到我的新域控制器。在将现有 DNS 复制到我的新服务器之前,清理它的最佳方法是什么?似乎最好有一个干净的正向查找区域,但我真的不明白该区域是如何工作的。
我已经启用了 DNS 清理,但它似乎从未清除对 DC2、域控制器和前段时间发生故障的 DNS 服务器的任何引用。我可以删除整个正向查找区域吗?它会自行重建吗?
有人能向我解释一下正向查找区域中的不同容器(_msdcs、domain.local、zone.domain.local)是什么吗?
答案1
我已经打开了 DNS 清理,但它似乎从未清理对 DC2、一段时间前出现故障的域控制器和 DNS 服务器的任何引用。
您需要在服务器级别和域级别启用清理。检查两者的属性以启用清理或自行删除特定记录。
我可以删除整个正向查找区域吗?它会自行重建吗?
这绝对是你不想做的。在安装了 DNS 的新 DC 上线后,请确保你的域已集成 AD,并将其设置为复制到所有域或林 DNS 服务器。我更喜欢所有林,但这只是我个人的看法。当你停用旧 DC 并删除所有内容时,请确保将所有客户端和服务器重新指向新的 DNS 服务器 IP 地址。我建议将它们并行运行一段时间,以使所有客户端和服务器都更新为使用新 IP,同时旧 IP 仍然可用。
您将当前 DC 重建为第二个 DC 的说法完全正确。您始终希望为 AD 基础架构配备 2 个 DC 和 2 个 DNS 服务器。我个人坚持至少让其中一个 DC 成为物理 DC,而不是让两个都虚拟化。
我担心在计划的第 3 步中,我最终会将错误的 DNS 记录复制到我的新域控制器。在将现有 DNS 复制到我的新服务器之前,清理它的最佳方法是什么?似乎最好有一个干净的正向查找区域,但我真的不明白该区域是如何工作的。
如有疑问,请保留。如果一切按预期进行,并且您不想破坏它们,那就放任不管。如果您知道某些记录不好,请删除它们,但只能删除那些您知道它们做什么的记录,并且只有当您确实知道它们是多余的时才删除它们。
答案2
_msdcs _sites _tcp _udp 是 DNS 中对 Active Directory 至关重要的区域,它们包含 AD 本身的服务记录。其他区域将包含网络上的计算机等的信息。
- _msdcs - 包含林中所有域的所有 GUID 和全局目录服务器列表
- _sites - 站点对象
- _TCP. _UDP - 域控制器的 DNS 信息
因此,如果您需要删除正常 DNS 区域中的坏记录,那没问题。其他区域可能会出现问题。但是,如果您发现 AD 的 DNS 记录混乱,您可以通过netdiag/fix从命令行运行来修复它们。