有一个新创建的 DC(在 VM 上),它是我们森林中树域的 DC,但它有问题。不幸的是,当它关闭时,它是我为这个域提升的唯一 DC。
操作系统状态不佳(类未注册、DCOM 处于脱机状态、SFC 和 DISM 不起作用)并且没有可用于配置的网络适配器,所以我无法访问它来提升额外的 DC。
因此此时是否可以从另一个域树(同一林)中的 DC 获取离线 DC 的角色。
或者有更好的选择吗?
我愿意解决上述问题,但到目前为止,我所经历的一切通常都以“你应该重新映像”结束。当然,即使我恢复了网络并能够升级另一个 DC,我也会放弃这个 VM。
我希望避免手动从我的林中删除离线域,以便我可以重建它。
更新
在我发现我的网络管理员已启用带有 VM 主机的交换机的端口安全性后,我就能够在网络上获取损坏的 DC。
该机器仍然严重损坏,但它现在可以作为一个接近完全正常运行的域控制器运行(不确定如何)。
我现在的问题是,当我尝试添加辅助 DC 并移动 FSMO 角色时,新 DC 无法正确完成其初始复制。我能够移动 PDC、RID 和基础设施角色,但服务器无法正确复制,并且由于它实际上没有初始化,我无法执行 D2/D4 还原(无法编辑 ADSI 属性)。
我尝试将 OperatialRoles 移回,但是我从损坏的 DC 收到缺少二进制文件的错误。
基本上,我需要让第二个 DC 联机,这样我就可以拉出损坏的 DC 并重新映像(由于缺少二进制文件,我无法降级损坏的 DC)。
答案1
因此我能够解决大部分问题,以下是我发现的。
我的网络管理员启用了限制模式的端口安全,并默认启用了 MAC 地址数量,因此交换机对我的所有 VM 来说都是黑洞,但对主机来说却不是。修复该问题后,我让网络重新回到 PDC 上并升级了 ADC。
ADC 未能正确完成初始同步。由于 Powershell 在 PDC 上损坏,我使用 Powershell 处理新升级但仍损坏的 ADC,并将 PDC、RID 和基础设施角色移至新 DC。
由于 DFSR 尚未在新 DC 上完成其工作,因此 DCDIAG 显示广告已损坏,并且 SYSVOL NTLOGON 文件夹尚未同步。测试服务器:Default-First-Site\server
Starting test: Advertising
Warning: DsGetDcName returned information for
\\DC01.xyz.local, when we were trying to reach
DC02.
SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
此时我读到的每篇文章都说要进行权威性恢复,但我遇到了一个问题,即新升级的 DC 的 mDFSR-Enable 和 mDFSR-Options 属性在 ADSI 编辑中无法更改。我发现我必须连接到第一个域控制器上运行的架构来编辑两个 DC 的属性,因为新的 DC 从未真正正确完成其升级。
当我进入 ADSI 时,我严格遵循了这篇文章。
新的 DC 现在是 PDC 并通过了所有 DCDIAG 检查。
不幸的是,由于旧 DC 上的所有二进制文件和类都乱了,Unistall-ADDSDominController 无法工作,我必须手动从 AD/DNS 中删除它并清理元数据。