Desproteger com segurança um controlador de domínio?

6

Background
Ao tentar rebaixar um controlador de domínio do Windows 2012, encontro o seguinte aviso:

No other domain controller could be contacted, but other domain controller objects are in the directory. If you are certain that this is that last domain controller for the domain and want to proceed, confirm that this is that domain controller in the domain.

No entanto, este não é o último controlador de domínio para o domínio.

Se eu verificar Force the removal of this domain controller , estou avisado:

Unless this is the last domain controller in the domain, you must perform metadata cleanup manually after removal.

Pergunta
Como faço para rebaixar com segurança este controlador de domínio? Por que ele afirma que não pode contatar o outro controlador de domínio? Quão segura é a remoção forçada com a limpeza de metadados "manual" ?

Atualizar

Detectando mensagens de dcdiag , descobri que o outro controlador de domínio que atualmente detém a função PDCe não possui compartilhamentos SYSVOL e que \Windows\SYSVOL\sysvol\domain.example.com está vazio. Eu acredito que é isso que está causando o problema, mas não tenho certeza de como proceder.

Mais detalhes
DomainMode: Windows2012Domain
ForestMode: Windows2003Forest

Este controlador de domínio foi o primeiro controlador de domínio para o domínio e, como tal, detinha as funções InfrastructureMaster, PDCEmulator e RIDMaster. No entanto, essas funções foram transferidas usando Move-ADDirectoryServerOperationMasterRole para o outro controlador de domínio sem aparente incidente antes de qualquer tentativa de rebaixamento.

O controlador de domínio é um Catálogo Global e um servidor DNS do AD, assim como o outro controlador de domínio, que agora mantém as funções FSMO, assim como os controladores de domínio da floresta.

Os mesmos avisos não são acionados no outro controlador de domínio.

repadmin /replsummary não mostra problemas aparentes.

Não houve personalização do Firewall do Windows. Os controladores de domínio estão na mesma VLAN e nenhuma ACL específica da interface é aplicada ao longo do caminho.

    
por 84104 04.11.2013 / 23:28

2 respostas

3

Se seus outros CDs não tiverem o SYSVOL compartilhado, encontre e corrija o problema com o NTFRS ou o DFS-R. Talvez você tenha um capotamento. Você deve ter eventos relacionados ao problema, a menos que tenham vencido o visualizador de eventos.

O REPADMIN não mostrará isso, é apenas a replicação do AD e não tem nada a ver com a replicação do SYSVOL.

    
por 05.11.2013 / 19:03
-2

A execução de Usuários AD e Computador, clicando com o botão direito em dc e selecionando excluir é bastante segura. Feito cem vezes.

    
por 05.11.2013 / 01:12