Windows 2016 Server 环境,具有 3 个 DC,单个域。所有 DC 也是 GC。服务器 1 承担所有 5 个 FSMO 角色。
现在我想导出服务器 1 的虚拟机,并将其放到单独的虚拟主机服务器上的不同环境中,网络与实际域完全分离。关闭虚拟机,导出,然后在另一台主机上重新导入。
VM 运行正常。可以从连接到新独立网络的 PC 对其进行 ping 操作。
我期望 AD 能够像往常一样工作,而这个 DC 现在只是一个孤独的 DC。当然,复制将不起作用,但由于该服务器是 GC 并承担所有 FSMO 角色,它应该拥有所需的一切,对吗?
然而,实际发生的情况如下:
- 无法连接到 Active Directory,甚至无法从服务器 1 本地连接
- dcdiag 通过了连接测试,但是没有通过广告测试,错误为 1355(定位器无法找到服务器)。
- dcdiag 中的另一个错误是无法连接到 NetLogon 共享。
- nslookup 查询 _ldap._tcp.dc._msdcs.domain.com 产生了正确的答复,就像在原始域网络中一样。这应该是定位 DC 的查询,那么为什么 DNS 可以找到它却找不到它呢?
- 在 DC 本身上,在新的域环境中,sysvol 文件夹不再包含“Policy”和“Scripts”文件夹,而是有一个名为“Ntfrs_Previous_SeeEventLog”之类的文件夹。
我不明白为什么会发生这种情况。
这是预料之中的事吗,还是我做错了什么?会是什么情况?
答案1
微软明确表示不要做你正在做的事情 (1)。“复制不起作用”肯定会 (最终) 导致“我的 AD 损坏”。复制严重损坏的 DC 确实会停止充当 DC,停止提供登录服务等。
他们甚至给你留下了你找到的线索!Ntfrs_Previous_SeeEventLog - 这是 NT 文件复制服务。它坏了(意料之中),DC 删除了它的共享(意料之中),从而破坏了登录,并给你留下了一条消息让你查找事件日志。去做吧。
如果您坚持沿着这条路走下去,您将需要修复复制,清理这台机器的 AD 视图(既然您已经将其与其他 DC 切断),然后您可能有一个可以正常工作的隔离测试域。
根据您的评论进行更新 - 是的,您当然可以拥有一个具有单个 DC 的域。但是您获取了一个非单独的 DC(副本),并将其与它所知道的复制伙伴切断,因此它认为它已损坏。您必须修复它。故事结束。
(1) - 曾经有一篇 TechNet KB 文章提到了这一点。微软忘记了很多,所以我没有简单的来源。它是关于在公司拆分和资产剥离期间不支持 AD 迁移的场景;“请不要这样做”的场景只是对网络进行分区,然后清理每一半的 AD。显然,从理论上讲,没有理由它不应该起作用,但如果你错过了什么或做错了什么或清理了错误的东西,你已经造成了极大的麻烦,而 MS 不想支持它。