需要将域控制器(林中第一个拥有所有 fsmo 角色的域控制器)移动到客户端建筑物中的另一个位置。这将需要关闭此 dc,对于这个问题,将其称为 dc1。我想将 fsmo 角色转移到新的域控制器,将其称为 dc2。dc2 已经在网络上,并且已经升级并成为域控制器,它的 dns 设置已设置,它也是一个全局目录 (GC)。这项工作计划在下班后完成,我还计划将 dhcp 服务器移动到 dc2。
我正在寻找一份最佳实践检查表,其中列出了在移动 fsmo 角色和关闭 dc1 之前需要验证的事项?据我所知,dc 之间的复制没有问题。我最担心的是,如果我在移动 dc1 后打开它,并且出现硬件问题或启动问题,我宁愿将 fsmo 角色移动到几个月前 (dc2) 的已知良好角色,而不是仍然使用 5 年旧的盒子 (dc1),这也是我的迁移策略的一部分。
谢谢您的帮助。
答案1
其中一些提示只是一般的 AD 健康检查。
- 在两个域控制器上运行
dcdiag以确保一切都干净。 - 验证 FSMO 角色是否处于您假定的位置。(KB234790)
- 查看 Active Directory 站点和服务并确认您只看到您期望存在的服务器和站点。
- 确保您的迁移目标(dc2)是全局目录服务器。
- 查看 DNS 以确保两个域控制器都已正确注册,并且没有多余的记录,尤其是在 _msdcs 中。
- 如果您使用 Windows Server 处理 DHCP,则应该在使用 降级之前取消对原始服务器的授权
dcpromo。
为什么要关闭 dc1?如果您的域中只有一个域控制器,并且它发生故障,那么您将面临大麻烦。考虑让 dc1 作为备份运行。
答案2
如果您只是关闭 FSMO 角色持有者,将其移至另一个物理位置,但逻辑上位于同一网络上,则无需移动 FSMO 角色。唯一的例外是如果您不确定服务器能否在移动后继续运行。
即使如此,如果服务器在迁移过程中无法幸存,也可以将 FSMO 角色转移到另一个 DC。这需要从 Active Directory 和 DNS 中删除对旧 DC 的所有引用;在重新安装 Windows 之前,旧 DC 永远无法再次连接到网络。
干净利落地转移角色总是比夺取要好。