Я знаю, как понизить роль контроллера домена (делал это раньше), но мне нужно сделать это для двух физических старых контроллеров домена в гораздо более «важном» и строго контролируемом домене, чем тот, для которого я делал это раньше. Мой вопрос в том, какие дополнительные проверки я должен выполнить, чтобы убедиться, что ничего не сломается после понижения уровня контроллеров домена.
Рассматриваемый домен в основном виртуализирован (включая два новых DC). Один из новых контроллеров домена уже некоторое время имеет роли FSMO без каких-либо проблем, и он является авторитетным сервером времени для домена. Когда я запускаю dcdiag, он не проходит только один тест (NCSecDesc). Сбой этого конкретного теста приемлем, потому что у нас никогда не будет RODC в этом домене. Все рядовые серверы имеют свои настройки DNS, указывающие на новые контроллеры домена.
В качестве эксперимента перед понижением в должности - могу ли я на время отключить эти контроллеры домена, чтобы убедиться, что домен продолжает функционировать без них? Не вызовет ли это проблем с репликацией или других проблем?
Как и в большинстве случаев, лучшая (и первая) предосторожность, которую вы должны предпринять, - это убедиться, что у вас есть правильные резервные копии, и что они восстановлено протестировано.
В противном случае я не могу вспомнить какие-либо меры предосторожности, которые вам нужно предпринять перед понижением уровня контроллеров домена. Вы запустили (и передали) dcdiag, вы не понижаете роль держателя роли FSMO, они не последние контроллеры домена в домене, другие ваши контроллеры домена работают, а ваши клиенты указывают на контроллеры домена, которые вы не будете понижать.
Предполагая, что вы понижаете DC 2003 г., я бы оставил только инструкции по принудительному понижению уровня контроллера домена под рукой, поскольку они иногда не понижают должным образом без видимой причины. И, просто для особой осторожности, возможно, инструкция по удалению отказавшего DC из AD на случай, если что-то пойдет не так.
Сказав все это о осторожности, по крайней мере, в 99 случаях из 100 понижение уровня контроллера домена проходит гладко, поэтому его не следует считать особенно опасным или рискованным.
Кажется, вы уже все продумали.
Простое их отключение в лучшем случае заставит AD отказываться от вас и может замедлить некоторые операции в крайних случаях. Ничего не должно ломаться.
Единственная опасность (и из доступной информации не ясно, представляет ли это реальная опасность) Я вижу, что ваша платформа виртуализации может зависеть от вашего AD (→ виртуализированные контроллеры домена). Это тебя укусит жесткий после того, как ваша платформа виртуализации отключится / будет отключена по какой-либо причине; поскольку существует круговая зависимость.
В этом случае вы должны либо разъединить их, либо оставить один или несколько физических контроллеров домена, либо хорошо спланировать обслуживание или восстановление после аварии.
Немного старая тема, но я хотел бы опубликовать свой опыт, поскольку в данный момент я понижаюсь в должности.
Сделайте резервные копии AD (состояния системы) как минимум 2 действующих DC.
Бегать DCDiag и DCDiag /test:DNS и repadmin /replsummary на всех живых DC, чтобы убедиться, что все в порядке.
Отключите их от сети на пару дней, чтобы увидеть, не сломается ли что-нибудь (у нас была система аутентификации с использованием LDAP на одном DC, о котором мы забыли). Вы увидите ошибки репликации AD и недоступности RPC во время их связи, но это нормально.
Наконец, сделайте их по одному с перерывом в несколько часов, чтобы убедиться, что репликация прошла успешно.
Не забывайте о других сервисах, которые могут использоваться на DC (DNS, DHCP, WINS, LDAP и т. Д.)