我们接手了一位客户,在审核了他们的站点后发现,他们曾经在端点处使用站点到站点 VPN 和另一个 DC(这是森林中唯一的 GC)。之前的 IT 公司降级了它,清理了 AD,但从未将其现在的主要 DC 设为 GC。
我们想用 2008R2 盒替换他们当前的 DC (2003),最好先将当前 DC 设为 GC,然后再 dcpromo 新 DC,还是无所谓?请记住,新 DC 将成为 GC。
答案1
我建议(微软也建议)全部域控制器全局目录,除非您有非常好的理由不这样做。
您需要对域的 RID Master FSMO 角色持有者进行网络访问,然后才能升级为可写域控制器。否则,只能创建 RODC,我猜这不是您想要的。
但更直接地回答您的问题,域控制器不需要将全局目录提升到现有域中。
编辑:我已通过实验室测试验证,我能够将新域控制器提升到现有域中,并且只需在线托管 RID FSMO 的非 GC 域控制器即可。其他 4 个 FSMO 已关闭,并且没有全局目录处于运行状态。
以下是来自精彩AskDS 博客即使在单域林中,您也需要全局目录联机的其他原因:
问题
如果我的林中只有一个域,我需要全局目录吗?许多文档都暗示是这样的。
回答
所有那些说“仅限多域”的文档都是错误的。您需要 GC(即使在单域林中)来实现以下目的:
• 相反,如果您启用了 IgnoreGCFailures (http://support.microsoft.com/kb/241789);如果没有 GC,则打开它会从用户安全令牌中删除通用组,这意味着他们将登录但无法访问他们之前访问过的资源)。
• 如果您的用户使用 UPN 登录并尝试更改其密码(他们仍然可以使用 UPN 或 NetBiosDomain\SamAccountName 样式登录单个域林)。
• 即使您使用通用组成员身份缓存来避免站点中对 GC 的需求,该 DC 也需要 GC 来更新缓存。
• 已部署MS Exchange(如果没有GC,所有版本的Exchange 服务都无法启动)。
• 使用 shell 中的内置“查找”在 AD 中搜索已发布的共享、已发布的 DFS 链接、已发布的打印机或任何提供“整个目录”选项的对象选择器对话框都将失败。
• DPM 代理安装将失败。
• AD Web 服务(又名 AD 管理网关)将会失败。
• CRM 搜索将失败。
• 可能还有其他我不清楚的第三方。