我们有一个自 Win2003 以来一直保持活跃的域,它经历了很多次变化并丢失了一些子域,我无法摆脱它们(尝试了 ntdsutil 和我在网上找到的所有方法),它也经历了几次恢复、一些升级,现在整个域控制器都乱七八糟了。它仍在使用 FSR,所以我无法将其复制到新服务器,因为它已被弃用,而且由于服务器本身的状态,迁移到 DFS 是不可行的……
现在我有一个想法,我可以创建一个新的域控制器并使用 ADMT 将对象迁移到临时域,重新安装原始域,然后将其迁移回来。
您认为这是处理此问题的正确方法吗?或者您有更好的建议吗?
提前致谢。
答案1
天哪,这个问题问得太多了。我会试着一个一个地解答。
我们有一个历史上一直保持活跃的域名......
这通常根本不是问题,自 2000 年代以来就有很多域名。AD 非常灵活和可靠。
丢失了一些子域,我无法摆脱它们[..]
由于 AD 的核心只是一个 LDAP 数据库(以及一些 kerberos、rpc 和 smb magic),因此应该可以解决。我不能说更多,除非有更多的信息,但在大多数情况下,AD 是可以修复的(只要它仍在启动并以某种方式工作)。
它也经历了几次修复和升级 [...]
更像是域很乱。DC 只是该状态副本的(多主)持有者。在某些情况下,该状态下的操作系统很乱,但 AD 数据库本身已被证明非常稳定且容错。
如果操作系统已“完成”,只需将其复制到新的操作系统即可。
它仍在使用 FSR,
我将其解释为FRS
(文件复制服务),它确实已被弃用。但这并不意味着 FRS 不再起作用。
所以我无法将其复制到新服务器
为什么不呢?如果您愿意,只需设置一个新的即可。只是不要使用 Windows Server 2019(因为它不再支持 FRS)。
因为它已被弃用,并且由于服务器本身的状态,迁移到 DFS 是不可行的......
如果 FRS 也已完成,则迁移到 DFS 通常会崩溃。或者如果您的 DNS 设计有些不干净。您必须事先修复该问题 - 无论如何您都必须这样做。
现在我有一个想法,我可以创建一个新的域控制器并使用 ADMT 将对象迁移到临时域,重新安装原始域,然后将其迁移回来。
从技术上来说,这是有道理的,如果你创建一个新的领域,而不仅仅是一个新的 DC。ADMT 将允许您将具有大多数对象属性的对象从一个域迁移到另一个域。但是,您将丢失 SID、配置文件、SPN、SCN、服务和方案数据。
你认为这是处理这个问题的正确方法吗?
我个人会:
- 使用 Server 2008R2/2012R2 安装新的 DC(以防旧的 DC 有一些与操作系统相关的内容)
- 复制域(并修复执行此操作时的所有错误)
- 干净地迁移到 DFS
- 清除大龄儿童遗体
- 使用这个干净且正常工作的系统来迁移到您想要的任何内容。
额外好处:您可以在系统在线并运行时执行此操作,因为这不会对用户产生任何影响。您甚至可以尝试逐个转移 FSMO 角色,并在一切正常运行时对新系统进行非常深入的测试。