安全地降级域控制器?

安全地降级域控制器?

背景
尝试降级 Windows 2012 域控制器时遇到以下警告:

无法联系其他域控制器,但目录中有其他域控制器对象。如果您确定这是域中的最后一个域控制器并想继续,请确认这是域中的域控制器。

然而,这并不是该域的最后一个域控制器。

如果我检查,Force the removal of this domain controller我会收到警告:

除非这是域中的最后一个域控制器,否则必须在删除后手动执行元数据清理。

问题
如何安全地降级此域控制器?为什么它声称无法联系其他域控制器?强制删除有多安全“手动”元数据清理

更新

追踪来自 的消息dcdiag,我发现当前拥有 PDCe 角色的其他 DC 没有任何 SYSVOL 共享,并且它是\Windows\SYSVOL\sysvol\domain.example.com空的。我相信这就是导致问题的原因,但我不确定如何继续。

更多细节
域模式 : Windows2012
域 林模式 : Windows2003林

此域控制器是域中的第一个域控制器,因此拥有 InfrastructureMaster、PDCEmulator 和 RIDMaster 角色。然而,Move-ADDirectoryServerOperationMasterRole在尝试降级之前,这些角色已转移到其他域控制器,没有出现任何明显意外。

域控制器是一个全局目录和 AD DNS 服务器,另一个域控制器也是如此,现在它拥有 FSMO 角色,林的域控制器也是如此。

其他域控制器上不会触发相同的警告。

repadmin /replsummary没有明显问题。

尚未对 Windows 防火墙进行任何自定义。域控制器位于同一 VLAN 上,并且未在其路径上应用任何特定于接口的 ACL。

答案1

如果您的其他 DC 没有共享 SYSVOL,请查找并修复 NTFRS 或 DFS-R 的问题。也许您进行了翻转。您应该有与该问题相关的事件,除非它们已从事件查看器中过期。

REPADMIN 不会显示这个,它只是 AD 复制,与 SYSVOL 复制无关。

答案2

运行 AD 用户和计算机,右键单击 dc,然后选择删除,这是相当安全的。已经做了一百次了。

相关内容