Назад | Перейти на главную страницу

Как я могу изменить назначенный контроллер AD?

Я новичок в администрировании серверов Windows и только что пытался перенести AD, DHCP, DNS, роли со старого сервера на новый сервер Windows Server 2016, а затем удалить старый сервер.

В конце концов, похоже, все прошло хорошо, хотя я, возможно, допустил некоторые ошибки на этом пути, в том числе не передал роли FSMO в нужный момент - я ухватился за них в конце.

Если я использую NetDOM /query FSMO чтобы увидеть роли, все они назначены новому серверу. Итак, почему на экране монитора работоспособности сервера отображается предупреждение ниже?

Почему он все еще думает, что BS-2012 назначен DC? (Старый сервер теперь физически уничтожен)

После некоторой хорошей помощи из других ответов и еще нескольких поисков в Google я решил проблему, отредактировав реестр ...

Измените этот ключ так, чтобы он указывал на правильный сервер постоянного тока (согласно этот Почта) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Server\ADContext\ConnectedDc

Удалите эти ключи (согласно этот, этот и этот) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTDS\Parameters\Src Root Domain Srv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTDS\Parameters\Src Root Domain Srv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Src Root Domain Srv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTDS\Parameters\Src Srv objectGuid HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTDS\Parameters\Src Srv objectGuid HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Src Srv objectGuid

Что вы сделали, чтобы «убрать» старый сервер? Поскольку вы сказали, что захватили роли, я предполагаю, что вы не реплицировали должным образом, затем переместили роли, а затем, в конечном итоге, DCPROMO старый DC, чтобы удалить его как DC.

В этой ситуации AD по-прежнему считает, что старый DC «рядом».

Хорошо то, что начиная с Windows Server 2008 и выше, процесс очистки «отказавшего» DC (в вашем случае уже физически уничтоженного) намного проще, чем в дни 2003 года.

https://blogs.technet.microsoft.com/canitpro/2016/02/17/step-by-step-removing-a-domain-controller-server-manually/

Следуйте приведенной выше статье, в которой говорится:

Шаг 1. Очистка метаданных с помощью пользователей и компьютеров Active Directory. Войдите на сервер DC в качестве администратора домена / предприятия и перейдите в Диспетчер сервера> Инструменты> Пользователи и компьютеры Active Directory. Разверните Домен> Контроллеры домена.

Щелкните правой кнопкой мыши DC-сервер, который необходимо удалить вручную, и нажмите «Удалить». В следующем диалоговом окне нажмите «Да» для подтверждения. В следующем диалоговом окне выберите «Этот контроллер домена постоянно отключен, и его нельзя понизить с помощью мастера установки доменных служб Active Directory ( DCPROMO) и нажмите «Удалить». Если контроллер домена является сервером глобального каталога, в следующем окне нажмите «Да», чтобы продолжить удаление. Если контроллер домена содержит какие-либо роли FSMO в следующем окне, нажмите «ОК», чтобы переместить их на доступный контроллер домена.

Шаг 2. Очистка экземпляра сервера DC из сайтов и служб Active Directory

Перейдите в Диспетчер серверов> Инструменты> Сайты и службы Active Directory.
Разверните Сайты и перейдите к серверу, который необходимо удалить. Щелкните правой кнопкой мыши и щелкните Удалить. В следующем окне щелкните Да, чтобы подтвердить.

В вашей ситуации вы можете рассматривать свой старый сервер как первичный отказавший DC. К счастью, это был не единственный ваш DC, поскольку у вас был новый сервер в качестве резервного DC! (Пожалуйста, оставьте это так!)

Можно передать или захватить роли FSMO другому контроллеру домена с помощью ntdsutil.exe.

Поскольку вы должны быть очень осторожны при этом, я предлагаю уделить время чтению и изучению:

Те, у кого нет планов аварийного восстановления или выполняющие все роли с одного DC, хотя и не рекомендуются, иногда неизбежны в некоторых небольших компаниях. Основная проблема при запуске всех ролей с одного контроллера домена заключается в том, что роли не могут быть перенесены на другой сервер в случае сбоя указанного сервера. Единственный способ перенести эти роли - захватить роли хозяина операций в случае отсутствия плана аварийного восстановления.

Шаги по захвату ролей хозяина операций после сбоя (или уничтожен BOFH мероприятие):

  1. Войдите в систему как администратор домена.
  2. Запустить командную строку с повышенными привилегиями.
  3. ntdsutil
  4. roles
  5. connections
  6. connect to server <FQDN of role holder>
  7. quit

  8. seize schema master, да (во всплывающем окне)

    seize naming master, да

    seize RID master, да

    seize PDC, да

    seize infrastructure master, да

  9. Тип quit для выхода из ntdsutil после ввода последней команды.