今天,我(再次……)对遭受可怕USN 回滚;此问题的标准解决方案是将其降级然后再提升回来,但主要问题是,降级不起作用,因为 USN 回滚条件阻止任何复制发生,从而不允许被降级的 DC 执行其最终复制并正常死亡。通常,您最终会关闭服务器,从 Active Directory 中删除对它的任何引用,然后从头开始重新安装 Windows。
但是,您可能在该服务器上有其他软件或数据;或者,如果降级就足够了,您可能只是不想完全重建它。
所以,我的问题是:如何成功降级遭受 USN 回滚的域控制器?
我尝试过的:
我将服务器与网络隔离,启动了降级过程,并在询问时告诉它这是域中的最后一个 DC;但它仍然抱怨这不是真的。
因此,我从 Active Directory 的副本中删除了所有其他 DC,然后执行了与上述相同的操作;但即使这样,它仍然再次失败,并出现无法复制目录分区(到WHO?它应该是唯一的 DC!)。
答案1
TL;DR dcpromo /forceremoval:。
直接来自问答系统博客:
为了纠正这种情况,我们需要在存在回滚问题的 DC 上执行以下操作。
1) 通过运行 dcpromo /forceremoval 强制降级 DC。这将从服务器中删除 AD,而不会尝试复制任何更改。完成后,您重新启动服务器,它将成为工作组中的独立服务。
2) 在其中一个复制伙伴上运行根据 KB 文章 216498 降级的 DC 的元数据清理。
3) 如果降级的服务器拥有任何 FSMO(灵活单主操作)角色,则使用 KB 文章 255504 将角色转移给另一个 DC。
4) 一旦在您的环境中完成了端到端的复制,您就可以将降级的服务器重新加入域,然后提升为 DC。
当你这样做的时候,你可能会搬起石头砸自己的脚:
我将服务器与网络隔离,启动了降级过程,并在询问时告诉它这是域中的最后一个 DC;但它仍然抱怨这不是真的。
因此,我从其 Active Directory 副本中删除了所有其他 DC,然后执行了与上述相同的操作;但是,这再次失败了,并出现了无法复制目录分区的错误(复制给谁?它应该是周围唯一的 DC!)。
如果我上面粘贴的建议不起作用,您可能应该向 MS 发出支持电话(并祈祷他们在您完成这些操作之后仍然会为您提供支持。)
编辑:需要明确的是,对于您的标题问题“USN 回滚后如何保存域控制器?”的答案是“您不能”。
我的意思是,您不必完全重建机器(尽管包括我在内的大多数人都会建议您这样做),但它目前作为 DC 的使用已经结束。强制从机器中删除 AD,将其从域中退出,清理域中剩余内容的元数据,完全复制并确保域健康,然后重新加入,最后重新升级。
答案2
- 您是否安装了环回适配器?(提示:如果没有,请安装)
- NIC 设置中是否配置了其他 DNS 服务器?(提示:如果有,请删除它们)