我们有一个域控制器(三个中的一个)已经关闭了几个月。它没有 FSMO 角色,但它是 WSUS 服务器。
最好的情况是,我们打开它,它与其他两个复制,一切都正常,对吗?
我还应该注意哪些其他情况?如果可能产生不良后果,我可能会将其停用。
谢谢。
答案1
如果在默认的 180 天墓碑寿命内,应该没问题。此外,2008 及更新版本默认启用“严格复制一致性”。这意味着如果休眠 dc 尝试复制已删除的更改对象,则另一个 dc 将拒绝来自该 dc 的入站复制,直到延迟对象被删除。
如果复制由于延迟对象而关闭,则可以使用 repadmin 来纠正该问题。
如果从 2003 升级,并且从未启用严格复制,则可能会出现问题。在这种情况下,可能会将延迟对象重新引入目录。
答案2
它可能已被墓碑化,不会与域中的其他 DC 进行复制。正确的做法是清理域控制器的元数据,重新安装 Windows,然后重新配置 WSUS。
如果您使用的是 Server 2003,则需要使用它ntdsutil来清理 DC 元数据。如果您使用的是 2008 或更高版本,则只需从 ADUC 中删除计算机对象,然后从已失效 DC 的站点和服务中删除 NTDS 对象即可。
您可以使用 dsquery 或 PowerShell 检查墓碑寿命。在 PowerShell 中:
Import-Module ActiveDirectory
Get-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=example,DC=com" -properties tombstonelifetime
显然,请填写适合您环境的 DN。
如果您的 DC 已离线更短的时间比墓碑周期的返回值(可能是 60 或 180 天)那么就可以安全地重新打开。
答案3
如果关闭时间短于墓碑寿命,则应可以将其重新打开。如果关闭时间长于墓碑寿命或您无法判断,则请勿将其重新打开。在这种情况下,请使用 NTDSUTIL 将其从 AD 中删除。