Frage Gibt es eine sichere Möglichkeit, einen nicht replizierenden Domänencontroller zu umgehen?


Wir haben einen Domänencontroller, der vor einer Weile virtualisiert wurde; Dies führte zu Problemen mit der Replikation, von der wir jetzt Fallout sehen. Ich habe den PDC-Emulator und andere fsmo-Rollen in einen neuen Domänencontroller verschoben und wir arbeiten daran, den virtualisierten Domänencontroller außer Betrieb zu setzen.

In der Zwischenzeit versuche ich, ein Problem mit der Verarbeitung von Gruppenrichtlinien zu lösen. Einige Workstations lösen beim Versuch, eine Richtlinie zu verarbeiten, "domain.local" in die IP-Adresse des virtualisierten / nicht funktionierenden Domänencontrollers auf. Wenn sie versuchen, Gruppenrichtlinienobjekte von diesem Domänencontroller herunterzuladen, sind sie aufgrund von Replikationsproblemen nicht verfügbar. Ich möchte diesen Domänencontroller sicher aus der Liste der DFS-Server entfernen, die diese Domäne (\ domain.local \ sysvol) bereitstellen. Gibt es einen sicheren Weg? Dies wird nur ein vorübergehendes Pflaster sein, bis wir in der Lage sind, den fehlerhaften DC außer Betrieb zu setzen.

Ich bin offen für alternative Vorschläge.


5
2017-12-21 18:08


Ursprung




Antworten:


Sie sollten entweder einen Weg finden, um das Problem zu beheben, oder es so schnell wie möglich herunterfahren und einen Verweis darauf aus Active Directory entfernen (mit NTDSUTILMetadaten-Bereinigungsfunktionen); Solange Active Directory denkt, dass es immer noch da ist, werden Domain-Mitglieder versuchen, sich anzumelden (und irgendwelche Probleme zu haben).

Wenn Sie es behalten möchten, anstatt es außer Betrieb zu setzen, sollten Sie es (gewaltsam) degradieren und es dann zurück fördern; Dies sollte Replikationsprobleme beheben:

http://support.microsoft.com/kb/875495


Wenn Sie es nicht reparieren oder degradieren können, zumindest schalten Sie ihn aus (oder trennen Sie es vom Netzwerk); Das ist die einzige sichere Methode, um sicherzustellen, dass niemand versucht, sich anzumelden. Wenn es im Netzwerk erreichbar ist, versucht jemand oder etwas früher oder später, es zu benutzen.


8
2017-12-21 18:30





Streifen Sie es ab A aufnehmen von der domain.local Benennen Sie in DNS, und ändern Sie dann die Einstellungen in seinem DNS-Dienst, so dass es es nicht zurücksetzt.

Wenn die Replikation so kaputt ist, gibt es nicht viel Gutes, wenn man sie für längere Zeit aufgibt - warum nicht einfach ausschalten, den gesamten Speicher der Domäne (auch bekannt als Metadaten-Bereinigung) und Ergreifen Sie alle Rollen, die es noch hat?


11
2017-12-21 18:14



Das war das erste, woran ich auch dachte. Ich war nur besorgt, dass es unbekannte Konsequenzen geben könnte. Der Grund, warum wir es im Moment verlassen, ist, dass es immer noch einige funktionierende Rollen hat, die Zeit brauchen, um zu migrieren (DNS, DHCP, IAS). Außerdem war es mir gelungen, alle FSMO-Rollen auf den neuen DC zu übertragen. - bshacklett
Wenn Sie können, führen Sie ein dcpromo auf dem fehlerhaften DC, so dass es nach Möglichkeit entfernt werden kann. Eine Metadatenbereinigung ist ein Ärger - Mark Henderson♦
Vereinbaren Sie mit @Mark ... Immer für den grazilen dcpromo, bevor Sie etwas Verrücktes wie Metadaten-Bereinigungen machen. Wir hatten DCs sterben (nicht fragen) vor und es ist ein PITA. - Ashley Steel
Obwohl dies wie eine gute Antwort schien, haben wir weiterhin Probleme mit diesem Domänencontroller. Es scheint, dass das Entfernen des A-Datensatzes ihn nicht als DFS-Knoten für die SYSVOL-Freigabe disqualifiziert. Ich arbeite immer noch daran, den DC zu degradieren, aber viele unserer Systeme haben darauf hingewiesen, und zwar aus dem einen oder anderen Grund. - bshacklett