我知道如何降级域控制器(以前做过),但我需要对两个物理旧 DC 执行此操作,而这个域比我以前执行的域要“重要”得多,控制也更严格。我的问题是,我应该运行哪些额外的检查,以确保降级域控制器后不会出现任何问题。
所讨论的域大部分是虚拟化的(包括两个新的 DC)。其中一个新 DC 已经拥有 FSMO 角色一段时间了,没有任何问题,它是域的权威时间服务器。当我运行 dcdiag 时,它只失败了一个测试(NCSecDesc)。这个特定测试的失败是可以接受的,因为我们永远不会在这个域上拥有 RODC。所有成员服务器的 DNS 设置都指向新的 DC。
作为降级前的实验 - 我可以暂时关闭这些 DC,以查看域在没有它们的情况下是否继续运行吗? 这不会导致复制问题或其他问题吗?
答案1
看来你已经把一切都想到了。
简单地关闭它们最多只能使 AD 对您产生阻碍,并且可能会在极端情况下减慢某些操作。 不会造成任何影响。
唯一的危险(并且从现有信息来看尚不清楚这是否是一个真正的危险)我在这里看到的是,您的虚拟化平台可能依赖于您的 AD(→虚拟化 DC)。这会对您造成影响难的在您的虚拟化平台由于某种原因启动或关闭后;因为存在循环依赖。
在这种情况下,您必须将两者分离,留下一个或多个物理 DC,或者很好地规划维护或如何从灾难中恢复。
答案2
与大多数事情一样,你应该采取的最佳(也是首要)预防措施是确保你有适当的备份,并且它们恢复测试。
否则,我想不出在降级域控制器之前需要采取的任何预防措施。您运行(并通过)dcdiag,您没有降级 FSMO 角色持有者,它们不是域中的最后一个 DC,您的其他 DC 可以正常工作,并且您的客户端指向您不会降级的 DC。
假设你正在降级 2003 DC,我唯一会做的事情就是保留强制降级域控制器的说明, 自从他们有时会毫无理由地不优雅地降级。为了更加谨慎起见,也许从 AD 中删除故障 DC 的说明以防事情真的出错。
尽管说了这么多要小心,但至少在 100 次中,99 次降级域控制器都会很顺利,因此不应认为它特别危险或有风险。
答案3
这是一个有点老旧的帖子,但我想我会发布我的经历,因为我目前正在降职。
对至少 2 个实时 DC 进行 AD(系统状态)备份
在所有实时 DC 上运行
DCDiag和以确保一切正常。DCDiag /test:DNSrepadmin /replsummary将它们从网络上移除几天,看看是否有任何问题(我们有一个使用 LDAP 的身份验证系统,但我们忘记了它)。在与它们相关时,您将看到 AD 复制和 RPC 不可用错误,但这没关系。
最后,每隔几个小时逐一进行操作,以确保复制成功。
不要忘记 DC 上可能使用的其他服务(DNS、DHCP、WINS、LDAP 等)