我们有一个前段时间虚拟化的域控制器;这导致了复制问题,我们现在看到了由此带来的后果。我已将 PDC 模拟器和其他 fsmo 角色移至新的 DC,我们正在努力停用虚拟化 DC。
与此同时,我正在尝试解决组策略处理问题。某些工作站在尝试处理策略时,会将“domain.local”解析为虚拟化/故障 DC 的 IP 地址。当他们尝试从此 DC 下载 GPO 时,由于复制问题,它们不可用。我想要做的是安全地将此 DC 从为该域提供服务的 DFS 服务器列表 (\domain.local\sysvol) 中删除。有没有安全的方法可以做到这一点?这只是一个临时的权宜之计,直到我们能够停用故障 DC。
我也愿意接受其他建议。
答案1
您要么找到一种方法来修复它,要么尽快将其关闭并从 Active Directory 中删除对它的任何引用(使用NTDSUTIL元数据清理功能);只要 Active Directory 认为它仍然存在,域成员就会尝试登录到它(并遇到任何问题)。
如果您想保留它而不是退役它,您应该尝试(强制)将其降级然后将其提升回来;这应该可以解决复制问题:
http://support.microsoft.com/kb/875495
如果你不能修复或降级它,至少关掉它(或将其与网络断开);这是确保无人尝试登录的唯一安全方法。如果可以通过网络访问,迟早会有人或某物尝试使用它。
答案2
从 DNS 中的名称中删除其A记录domain.local,然后修改其 DNS 服务上的设置,以便它不会将其放回原处。
如果复制被破坏了,那么让它继续存在一段时间都不会有什么好处——为什么不把它关闭,从域中烧掉它的所有内存(也称为元数据清理)并夺取它留下的任何角色?