我管理一个带有 Server 2003 域控制器的网络。我计划用新的 Server 2008 DC 替换域控制器。运行 DCDIAG 时,我收到一条错误消息,指出域控制器出现类似“测试 MachineAccount”的错误。我忘记了确切的错误消息。出现该消息的原因是,之前的管理员将域控制器计算机帐户移出了“域控制器”OU。我之前就知道这一点,但现在我想知道这是否会在 ADPREP 过程中导致新的问题。我读过的一些文档指出,当对象从域控制器 OU 移动时,Exchange 和基础架构的其他方面会出现问题。到目前为止,我还没有遇到过这种情况,因为现在一切似乎都正常。我想知道是否有其他人有这方面的经验。在打好基础并提前规划之前,我不想再次移动域控制器对象。
谢谢。
答案1
从http://technet.microsoft.com/en-us/library/cc728418%28WS.10%29.aspx
域控制器 OU
当域控制器添加到域中时,其计算机对象会自动添加到域控制器 OU。此 OU 已应用一组默认策略。为了确保这些策略统一应用于所有域控制器,建议您不要将域控制器的计算机对象移出此 OU。未能应用默认策略可能会导致域控制器无法正常运行。
我认为最大的问题发生在将 DC 放置在未应用默认 DC 策略的单独 OU 中时,但如果它们只是位于不同名称的容器中,最好将它们保留在域控制器 OU 中。
答案2
理论上你可以这样做,但至少你还需要将默认域控制器策略 GPO 链接到新的 OU,并更新配置分区中通过可分辨名称引用 DC 的所有内容以反映新位置。还需要考虑第三方软件的问题 - 其中一些可能预计DC 必须位于域控制器中,否则会大吵大闹。最后,如果使用配置文件而不是 AD 来存储其配置,则需要检查这些配置文件。最后最后,对当前运行的所有内容进行全面检查,包括重新启动服务器以清除所有缓存的引用,似乎是有序的,因为某些问题可能仅在计算机或服务启动期间出现。
如果这一切听起来有点“啊,什么?”那么你不应该这样做。糟糕的前任管理员!
答案3
只是想为读者添加我自己的经验:
重新组织活动目录结构时,我将 DC 帐户移至不同的 OU,并将相同策略链接到新 OU。一切似乎都很好,直到我重新启动了其中一台 SQL Server 计算机。
重启后,机器无法启动(启动时卡在“请稍候...”屏幕上)。我测试了我的备份 SQL Server 以查看它是否正常工作,并发现管理员帐户无法登录。我花了两天时间(幸好系统尚未投入生产!)才弄清楚是将 DC 帐户移动到另一个 OU 导致 KDS 服务(密钥分发服务)无法启动。当它失败时,所有 AD 服务帐户都无法工作。
将 DC 帐户移回即可解决所有问题。
我唯一的猜测是 KDS 以某种方式使用了 DC 的完整路径......
注意:这是在 Windows Server 2012 环境中。