我看到有人提到过服务器故障以及Technet 博客您永远不应暂停或挂起域控制器。在搜索有关该主题的 Microsoft 文档时,我只发现一个情况很糟糕。微软官方支持文档仅指出域控制器的暂停时间不应超过墓碑期(即 90 或 180 天),因为这可能会导致延迟对象。还有其他原因导致有人不想暂停 DC 吗?我不明白这怎么会导致USN 回滚。我确信我可能还遗漏了另一件糟糕的事情。感谢您的意见。
答案1
它们不应该被暂停\暂停\隔离,因为您希望您的 DC 保持在线和健康,但正如您指出的官方文档所述,这可以安全地完成,但前提是您不要让 DC 离线太久,以免墓碑效应导致 DC 重新上线时出现残留对象。我刚刚做了类似的事情 - 完全隔离 DC 并使用它进行一些工作几周 - 当我们描述这种情况时,我从 MS 那里得到了相同的建议。我们遇到了一些其他复杂情况(RID 耗尽的风险),仅适用于隔离但仍处于通电状态且处于活动状态的 DC,但这些不适用于暂停\停止的 DC。
答案2
不暂停或挂起域控制器的原因之一是,它会使数据库在内存中处于打开和不一致的状态。当您关闭 DC 并再次打开它时,会在 Active Directory 数据库上运行一致性检查。
我不知道这些担心是否合理,但我看到问题发生的其他领域是当它们恢复时,内部时钟的状态与当前发出的 Kerberos 票证不同。
长话短说,我能想到几件可能出错的事情,并且没有真正的理由需要休眠或暂停 DC。
答案3
如果您错误地配置了时间同步,并且使用某些 VM 产品,当系统恢复时,您的时间可能不会立即更新为实时时间。如果您的时间不准确,您可能会遇到一些奇怪的身份验证问题。
我不认为暂停/挂起会导致回滚。该特定问题更多地与使用快照有关,恢复到较旧的快照会严重破坏复制。
答案4
想象一下突然关闭机器。这不是你通常应该做的事情,但有时确实会发生。机器可能处于某种不一致的状态,这是不可取的,但不是世界末日。考虑到你通过上面的评论创建的背景,我建议当它确实发生时,只需执行正常重启并让服务器正常解决问题。