Soru Çoğaltmayan bir DC'yi atlamanın güvenli bir yolu var mı?


Bir süre önce sanallaştırılmış bir etki alanı denetleyicimiz var; Bu, artık serpinti gördüğümüz çoğaltma ile ilgili sorunlara neden oldu. PDC Emulator'unu ve diğer fsmo rollerini yeni bir DC'ye taşıdım ve sanallaştırılmış DC'nin hizmet dışı bırakılması üzerinde çalışıyoruz.

Bu arada, grup politikası işlemeyle ilgili bir sorunu çözmeye çalışıyorum. Bazı iş istasyonları, ilkeleri işlemeye çalışırken, sanallaştırılmış / arızalı DC'nin IP adresine "domain.local" çözümleniyor. Bu DC'den GPO'ları indirmeye çalışırken, çoğaltma sorunları nedeniyle kullanılamazlar. Yapmak istediklerim, bu DC'yi bu alana hizmet veren DFS sunucuları listesinden güvenli bir şekilde kaldırmaktır (\ domain.local \ sysvol). Bunu yapmanın güvenli bir yolu var mı? Bu, arızalanan DC'yi devre dışı bırakana kadar sadece geçici bir bant yardımı olacaktır.

Alternatif önerilere de açığım.


5
2017-12-21 18:08


Menşei




Cevaplar:


Düzeltmek için bir yol bulmalı ya da en kısa sürede kapatmalı ve Active Directory'den herhangi bir referansı kaldırmalısınız. NTDSUTILmeta veri temizleme işlevleri); Active Directory hala orada olduğunu düşündüğü sürece, etki alanı üyeleri oturum açmayı dener (ve herhangi bir sorunla karşılaşır).

Eğer onu hizmet dışı bırakmak yerine tutmak istiyorsanız, onu (zorla) indirgemeyi denemeli ve sonra tekrar tanıtmalısınız; Bu çoğaltma sorunlarını düzeltmeli:

http://support.microsoft.com/kb/875495


En azından düzeltemez veya indiremezseniz, kapat (veya ağdan bağlantısını kesiniz); Kimsenin giriş yapmaya çalışmadığından emin olmanın tek güvenli yolu budur. Ağa erişilebiliyorsa, birileri veya bir şey er ya da geç kullanacaktır.


8
2017-12-21 18:30





Onun şerit A kayıttan domain.local DNS'de adı girin ve DNS hizmetindeki ayarları değiştirmeyin, böylece geri yüklemez.

Çoğaltma bu kadar bozulduysa, o zaman herhangi bir zaman için onu bırakmaya yetecek kadar iyi bir şey olmaz - neden sadece kapatmaz, tüm anılarını alandan (metadata temizleme olarak da bilinir) ve bıraktığı tüm rolleri ele geçirmek?


11
2017-12-21 18:14



Bu benim de düşündüğüm ilk şeydi. Sadece bilinmeyen sonuçlar olabileceğinden endişeliydim. Şu andan çıkmamızın nedeni, üzerinde hala taşınması zaman alacak bazı rollerin (DNS, DHCP, IAS) var olmasıdır. Ayrıca, tüm FSMO rollerini yeni DC'ye aktarmada başarılı oldum. - bshacklett
Eğer yapabilirsen dcpromo Arızalı DC'de, mümkünse incelikle çıkarılabilir. Bir meta veri temizleme, bir güçlük - Mark Henderson♦
@Mark ile Katılıyorum ... Her zaman metadata temizleme gibi çılgın bir şey yapmadan önce zarif bir dcpromo için gidin. Daha önce de DC'lerin ölmesini (ve sormamasını) ve onun bir PITA'sını aldık. - Ashley Steel
Bu iyi bir cevap gibi görünse de, bu DC ile sorun yaşamaya devam ettik. A kaydının silinmesinin Sysvol paylaşımı için bir DFS düğümü olarak diskalifiye edilmediği görülüyor. DC'yi indirgemek için hala çalışıyorum, fakat sistemlerimizin birçoğu, özellikle bir sebepten ötürü ona işaret ediyor. - bshacklett