提升无权访问 FSMO 的 Active Directory 副本 DC

提升无权访问 FSMO 的 Active Directory 副本 DC

Windows 2008 R2 域控制器和功能级别。网络连接如下:

DC03 ------ DC02 ------ DC01(FSMOs)

DC01 拥有所有 FSMO。尚未升级的 DC03 目前与 DC02 通信良好。所有 FSMO 角色都在 DC01 上。所有站点、子网和站点链接对象均已正确配置,以表示上面显示的网络情况。

DC03 无法直接与 DC01 通信。

DC03 上的 DCPromo 目前失败了,因为 DCPromo 运行了一些与 FSMO 角色持有者直接网络连接的测试。它正在尝试将 LDAP 绑定到 RID 主机,但失败了,此时 DCPromo 假设 RID 主机处于脱机状态。但实际上并没有脱机。

有什么方法可以绕过连接测试?DC03 当前与 DC02 同步良好,并且可以从中读取它想要的所有 Active Directory。

我考虑过从媒体安装,但在尝试之前我想得到更多的确认以确保它确实有效,而且我没有看到任何证据表明 IFM 安装跳过了常规 DCPromo 所做的连接测试。

PS-无需移动 FSMO 角色。

答案1

似乎 RID 主机和 PDC 模拟器应该能够直接与全部域中的 DC,尽管我还没有找到用这些术语准确拼写的内容。

这篇 TechNet 文章似乎暗示了这一点。

将角色放置在需要访问给定角色的计算机可以访问的域控制器上,尤其是在未完全路由的网络上。例如,要获取当前或备用 RID 池,或执行传递身份验证,所有 DC 都需要对其各自域中的 RID 和 PDC 角色持有者进行网络访问。

这篇其他文章还说:

站点 C 和 D 中的域控制器无法访问站点 A 中的 RID 主机,从而无法在 Active Directory 安装之后获取初始 RID 池,也无法在 RID 池耗尽时刷新 RID 池。

不过,该文章确实对站点链接桥接进行了模糊的提及。

据我所知,站点链接桥接不适用于 RID 颁发的情况,也不适用于 PDC 仿真器提供的服务,如失败的身份验证转发或时间同步,因为这些确实不是依赖复制和站点链接桥仅用于复制。必须与具有这些角色的 DC 建立直接连接。

如果你删除问题末尾的“PS”,我可以提供一个解决方案:)

相关内容