Existe uma maneira segura de ignorar um DC não replicante?

Navegue suas respostas
5

Temos um controlador de domínio virtualizado há algum tempo; Isso causou problemas com a replicação que estamos vendo agora. Mudei o PDC Emulator e outras funções fsmo para um novo controlador de domínio e estamos trabalhando para desatribuir o controlador de domínio virtualizado.

Enquanto isso, estou tentando resolver um problema com o processamento da política de grupo. Algumas estações de trabalho, ao tentar processar políticas, estão resolvendo "domain.local" para o endereço IP do controlador de domínio virtualizado / com defeito. Quando eles tentam baixar os GPOs deste DC, eles não estão disponíveis devido a problemas de replicação. O que eu gostaria de fazer é remover com segurança esse controlador de domínio da lista de servidores DFS que atendem a esse domínio (\ domain.local \ sysvol). Existe uma maneira segura de fazer isso? Este será apenas um band-aid temporário até que possamos descomissionar o DC com defeito.

Estou aberto a sugestões alternativas também.

    
por bshacklett 21.12.2011 / 19:08

2 respostas

8

Você deve encontrar uma maneira de corrigi-lo ou desligá-lo o mais rápido possível e remover qualquer referência a ele do Active Directory (usando as funções de limpeza de metadados de NTDSUTIL ); contanto que o Active Directory ache que ainda está lá, os membros do domínio tentarão fazer logon nele (e ter qualquer tipo de problema).

Se você quiser mantê-lo, em vez de descomissioná-lo, você deve tentar rebaixá-lo e, em seguida, promovê-lo de volta; isso deve corrigir problemas de replicação:

link

Se você não pode consertar ou rebaixar, pelo menos desligue-o (ou desconecte-o da rede); essa é a única maneira segura de garantir que ninguém tente fazer logon nela. Se estiver acessível na rede, alguém ou alguma coisa, mais cedo ou mais tarde, tentará usá-lo.

    
por 21.12.2011 / 19:30
11

Retire seu registro A do nome domain.local no DNS e modifique as configurações em seu serviço DNS para que ele não seja recuperado.

Se a replicação é aquela quebrada, então não há muita coisa boa que possa resultar em deixá-la por tempo - por que não apenas desligá-la, gravar toda a memória dela do domínio (também conhecido como metadata limpeza) e aproveitar qualquer papel que tenha deixado?

    
por 21.12.2011 / 19:14

Tags

Como descubro a distro de um servidor? Quanto tempo leva para aplicar uma regra iptables?