我继承了一个布局非常糟糕的 Active Directory 林。它只有一个林,每个站点都有一个域树,每个站点都有一个域控制器。没有一个域是其他域的子域。
现在,其中一个 DC(我们将其称为域 M 的 M1)在我们将 VM 从一个虚拟机管理程序移动到另一个虚拟机管理程序时出现问题,因此我们返回到正常工作的虚拟机管理程序,这导致了 USN 回滚,而 2008r2 DC M1 已检测到此问题。在此过程中,域 M 中创建了 2 个 DNS 条目,这可能是回滚过程中唯一丢失的内容,因为当时域 M 中没有用户处于活动状态。目前,DC M1 已重新启用其入站和出站复制,repadmin /options M1 -DISABLE_INBOUND_REPL
并且repadmin /options M1 -DISABLE_OUTBOUND_REPL
其 netlogon 服务在以事件 ID 2103 的暂停状态启动后继续运行。
我想要的解决方案是为所有 10 个站点创建一个新的单一域并重新开始。但是,除了 netlogon 以暂停状态启动的烦恼之外,它似乎运行正常。 我的问题是:
- 有没有不太严重的建议,或者重新开始并正确地做这件事是否同样费力?
- 如果我只是删除注册表项
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\DSA Not Writable
并忽略回滚,这对多域林中的单个 DC 域会有什么影响?
因为它是单个 DC,所以我们无法执行
- 降级然后提升 DC 以从另一个现有 DC 进行复制,因为同一域中没有可从中复制的 DC
- 执行非权威系统状态还原,因为这也需要一个正常运行的健康 DC 进行复制。
编辑:是的,我们有,或者可以从旧系统映像中制作系统状态备份,该备份比墓碑寿命更年轻。
答案1
我认为最安全的做法是致电 Microsoft 支持部门,让他们指导您完成操作。问题是,手动修改注册表项等简单操作Dsa Not Writable
可能会导致您永久处于不受支持的状态。
有了上述免责声明,USN 回滚的问题是您需要域中的另一个 DC 作为您域的权威回滚标准。由于域中只有 1 个 DC,因此您不需要这个。
您有系统状态备份吗?
正确还原的域控制器在使用以下方法还原其系统状态后重新启动到 Active Directory 时,会重置其本地调用 ID 属性支持的备份和恢复方法。当重置的调用 ID 被出站复制时,林中的远程域控制器将重置的调用 ID 记录为已恢复域控制器上的新数据库实例。尽管已恢复的域控制器仍然是同一个域控制器,但远程域控制器会将此已恢复的域控制器确认为新的复制伙伴,因为调用 ID 已更改。(调用 ID 是数据库实例的标识。)已恢复的域控制器本身将接受来自其他远程域控制器的更改,这些更改源自远程域控制器和已恢复之前的域控制器。
这几乎就是你在这个问题上的圣经:http://support.microsoft.com/kb/875495/en-US
没有系统状态备份?您可以设置 AD 数据库以赋予其自身一个新的调用 ID:
这些都没用?那就往好的方面想吧:至少你只是损失了一领域!