用于独立/异地测试位置的只读域控制器

Active Directory 默认在多主复制模式，其中每个域控制器对其管理的域具有独立权威性。因此，即使在断开连接的情况下，测试 DC 仍将能够处理登录并接收更新（密码更改等）。两组 DC（实时 DC 和测试站点中的 DC）将随着时间的推移慢慢分化，但如果您打算事后将它们聚合，那才是问题。

以下是我处理这种情况的建议：

1. 采取充分系统状态备份在重新定位每个测试域控制器之前。
2. 重新定位测试 DC 并使其安顿下来（将工作站加入域、创建用户等）。
3. 运行测试。
4. 当您准备将 DC 恢复到生产服务时，请执行非权威性还原您之前所做的系统状态备份。这将重置 DC 到其先前的系统状态（当然）。
5. 将测试 DC 返回其原始网络并重新打开电源。它们会发现 Active Directory 数据的副本已经严重过时（由于古老的美国海军)，并开始向一直在那里的生产 DC 发送复制请求。

由于这仅用于测试，您是否考虑过在其中一台机器上运行 VM 并将其设置为 DC？像 Virtualbox 这样的东西，尽管不是生产用途的好选择，但在这种情况下还是可以的。

1) 当标准 DC​​ 与域中的其他 DC 隔离时，它将继续执行其所有功能，因为每个 AD DC 都能够独立工作；只有在您需要访问 FSMO 角色之一时才会遇到问题（例如执行架构扩展或用尽新用户的 RID），但这只会发生在一些非常特殊的情况下，您在测试环境中不太可能遇到这种情况。当然，如果您在两个段之一上对 AD 执行任何修改（例如创建用户帐户甚至更改密码），这将不会复制到另一个段……如果您打算重新连接它们，您很可能会遇到复制冲突。

这不适用于 RODC：如果其中一个与网络的其余部分隔离，并且您没有任何可用的可写 DC（即使通过 WAN 链接），则大多数 AD 功能将不可用；您将无法创建/修改任何事物，这当然包括将计算机加入域、管理用户帐户和组等。

2) AD 关心 IP 地址有两个目的：复制数据和定位“最近”的可用域控制器以避免不必要的 WAN 流量；这两个功能都依赖于站点、子网和站点链接的定义。如果您要设置一个 WAN 链接，指向一个与主 LAN 具有不同 IP 地址的位置，并将 DC 放在那里，则需要在 Active Directory 站点和服务控制台中定义一个站点和一个子网；这将允许 AD 管理主位置和异地 DC 之间的复制，并且还会告诉该位置的服务器和客户端与本地 DC 通信。

在将 DC 移至离线状态（就生产网络而言）时，您必须考虑的一个问题是，如果它脱离生产网络的时间超过墓碑时间，它可能包含已从生产网络中删除的对象（称为延迟对象），并且当它重新连接到生产网络时可能会出现一致性问题。我遇到过这样的问题，情况并不乐观。

如果您在此过程中只处理几个问题，则不会出现问题。如果域最初是 Windows 2000 并升级到 2003，则墓碑年龄为 60 天，而如果它最初是 Windows 2003 域，则墓碑年龄为 180 天。您可以更改墓碑年龄，但这需要使用 ADSIedit 或其他工具直接修改 Active Directory 的目录服务分区，我不知道您是否愿意这样做。（路径为：CN=Directory Services,CN=Windows NT,CN=Services,CN=Configuration,DC=yourdomain,DC=yourdomainsuffix）这将使 Active Directory 占用您 DC 上的更多空间，因为它们将保留全部在真正完全删除对象之前，需要花费更长时间才能删除它们。

在断开异地 DC 之前，应确保进行时间同步，以尽量减少异地 DC 时的时间漂移​​。重要的是，在重新连接时，应首先在生产网络 DC 上配置严格的复制一致性事先的 到 重新引入 这 离开 地点 直流（使用带有 /regkey 开关的 Repadm 工具），并确保将异地 DC 设置为非权威性还原，事先的重新连接，这样它将尽快将新的 SYSVOL 复制到其中。