我最近继承了一个 Active Directory(所有 DC 均为 Windows 2003),该目录已配置了多个子域,用作 CRM 软件的测试环境。其中两个子域已用于使用未来日期(2015 年)进行测试,这远远超出了 Kerberos 的时间容忍范围,它们使我的事件日志充斥着复制错误,例如:
Description:
The attempt to establish a replication link for the following writable directory partition failed.
Directory partition:
CN=Schema,CN=Configuration,DC=ad,DC=xxxxxxx,DC=com
Source domain controller:
CN=NTDS Settings,CN=TESTDC001,CN=Servers,CN=SiteName,CN=Sites,CN=Configuration,DC=ad,DC=xxxxxxx,DC=com
Source domain controller address:
38e95b2a-35af-4174-84ba-9ab039528cce._msdcs.ad.xxxxxxx.com
Intersite transport (if any):
This domain controller will be unable to replicate with the source domain controller until this problem is corrected.
User Action
Verify if the source domain controller is accessible or network connectivity is available.
Additional Data
Error value:
5 Access is denied.
我也想在某个时候升级到 Windows 2008,但我不想尝试任何架构更新,因为我对复制不是 100% 有信心。我猜我唯一真正的解决方案是摆脱这些子域。
子域作为独立域运行,DC 已启动并运行,并且能够正常验证测试用户。我猜最好的解决方案是删除域(尽管我很乐意听到其他答案)。时钟转发似乎已经进行了好几年,所以我假设我不能直接将时钟调正(我猜这个范围是 180 天,与墓碑寿命相同)
出现复制错误后,我是否能够 dcpromo 子域 DC,将其选为域中的最后一个域控制器,然后删除子域?或者我最好将该域视为孤立域并使用微软的说明如此澄清。
如有任何建议我将非常感激。
答案1
因为您看到复制错误,所以执行 dcpromo 有可能无法干净地删除子域。
按照知识库文章中的说明进行元数据清理将从父域中删除子域的所有痕迹。在进行元数据清理之前,我会确保关闭或重建子域的域控制器,而无需 Active Directory 角色。
这一切都假设子域中没有任何需要保留的内容。