Сегодня мне пришлось (снова ...) лоботомировать контроллер домена, который пострадал от ужасного Откат USN; стандартное решение этой проблемы - понизить его, а затем снова повысить, но основная проблема в том, что понижение не сработает, потому что условие отката USN предотвращает любую репликацию, тем самым не позволяя понижать в должности DC выполнить его окончательную репликацию и изящно умереть. Обычно вы завершаете работу сервера, удаляя все ссылки на него из Active Directory, а затем переустанавливаете Windows с нуля.
Однако у вас может быть другое программное обеспечение или данные на этом сервере; или, возможно, вы просто не захотите полностью его перестраивать, если вам достаточно понизить уровень.
Итак, у меня вопрос: как я могу успешно понизить уровень контроллера домена, для которого был выполнен откат USN?
Что пробовал:
Я изолировал сервер от сети, запустил процесс понижения роли и, когда его спросили, сказал, что это последний DC в домене; но он по-прежнему жаловался на то, что это неправда.
Поэтому я удалил все остальные контроллеры домена из его копии Active Directory, а затем сделал то же самое, что и выше; но даже это снова не удалось, с ошибкой о невозможности реплицировать раздел каталога (чтобы ВОЗ? Это должен был быть единственный DC!).
TL; DR: dcpromo /forceremoval.
Прямо из AskDS блог:
Чтобы исправить эту ситуацию, нам нужно сделать следующее на контроллере домена, на котором возникла проблема отката.
1) Принудительно понизьте DC, запустив команду dcpromo / forceremoval. Это удалит AD с сервера без попытки репликации каких-либо изменений. Как только это будет сделано, и вы перезагрузите сервер, он будет автономным сервером в рабочей группе.
2) Запустите очистку метаданных контроллера домена, который был понижен в соответствии со статьей 216498 базы знаний на одном из партнеров репликации.
3) Если пониженный сервер выполнял любую из ролей FSMO (Flexible Single Master Operations), используйте статью 255504 базы знаний, чтобы передать роли другому DC.
4) После завершения репликации в вашей среде вы можете снова присоединить пониженный сервер к домену, а затем повысить его до DC.
Вы могли выстрелить себе в ногу, когда сделали это:
Я изолировал сервер от сети, запустил процесс понижения роли и, когда его спросили, сказал, что это последний DC в домене; но он по-прежнему жаловался на то, что это неправда.
Поэтому я удалил все остальные контроллеры домена из его копии Active Directory, а затем сделал то же самое, что и выше; но даже это снова не удалось, с ошибкой о невозможности репликации раздела каталога (для кого? Предполагалось, что это единственный DC!).
Если совет, который я вставил выше, не работает, вам, вероятно, стоит записать звонок в службу поддержки MS (и молиться, чтобы они все еще поддержали вас после того, что вы сделали).
Редактировать: Чтобы быть ясным, ответ на ваш вопрос заголовка: «Как я могу сохранить контроллер домена после отката USN?» это «вы не делаете».
Я имею в виду, что вам не нужно полностью перестраивать машину (хотя большинство людей, включая меня, посоветуют вам это сделать), но ее использование в качестве DC в настоящее время закончено. Принудительно удалите из него AD, отсоедините его от домена, очистите метаданные на том, что осталось от вашего домена, полностью реплицируйте и убедитесь, что домен работоспособен, затем снова присоединитесь и, наконец, повторите продвижение.