none
请问AD主站点正确的故障转移流程应该是怎么样的 RRS feed

  • 问题

  • 北京有两个域控,一个PDC,另外一个普通域控,如果PDC宕机三十分钟,或者说一段时间恢复不了的话,我时候要Seize roles到普通域控,如果强制夺取角色之后,原PDC域控恢复后还可以正常开机参与复制吗。

    最正确的操作应该是怎样完成主站点PDC和普通域控的切换?

    2020年2月25日 1:42

答案

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    如果PDC由于硬件问题,宕机或者一时间不能恢复的话,我们需要强制夺取角色到普通的域控。

    问题一:如果强制夺取角色之后,原PDC域控恢复后还可以正常开机参与复制吗。

    回答一:如果某个域控制器的FSMO角色被强制夺取到其他的域控制器,那么不应该再允许这个域控制器与林中现有的其他域控制器进行通信。
    根据以下的官网链接,在这种情况下,我们应该格式化硬盘并在此类域控制器上重新安装操作系统,或者在私有网络上强制降级此类域控制器,然后在林中其他的域控制器上删除此域控制器的元数据。 

    如果将之前的FSMO角色担任者的域控制机器引入AD环境的话,它会有风险,即原始域控制器上的FSMO角色可能会像以前一样继续运作,那么两个域控制器拥有相同的FSMO角色,就会产生包括创建具有重叠RID池的安全主体,以及其他问题。

    问题二:最正确的操作应该是怎样完成主站点PDC和普通域控的切换?

    回答二:正如上面的回答,在这种情况下,我们应该格式化硬盘并在此类域控制器上重新安装操作系统,或者在私有网络上强制降级此类域控制器,然后在林中其他的域控制器上删除此域控制器的元数据。 

    当我们夺取FSMO角色之后,其中PDC模拟操作主机角色就被夺取到普通域控上,那么普通域控就会成为PDC。一般我们建议AD环境里面有多个域控制器,即PDC和一个或者多个普通域控,以防有其中一台域控不能正常工作的话,其他域控可以继续工作。所以我们需要至少再重新部署一台普通域控到现有的环境中作为普通的域控制器。

    以下是相关文档,您可以作为参考。链接如下:
    https://support.microsoft.com/en-us/help/255504/using-ntdsutil-exe-to-transfer-or-seize-fsmo-roles-to-a-domain-control

    以下链接是关于夺取操作主机角色和元数据清理,请参考:
    https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-seizing-operations-master-role
    https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/ad-ds-metadata-cleanup

    感谢您的支持!如有任何问题,请随时联系我们。


    此致,
    Hannah Xiong

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Mr.MikeWang 2020年2月25日 10:54
    2020年2月25日 8:37