O que pode dar errado quando os Controladores de Domínio foram removidos da UO do Controlador de Domínio?

Question

O que pode dar errado quando os Controladores de Domínio foram removidos da UO do Controlador de Domínio?

#1 resposta do (6 votos)
#2 resposta do (2 votos)
#3 resposta do (2 votos)

5

Eu administro uma rede com controladores de domínio do Server 2003. Estou planejando substituir os controladores de domínio por novos DCs do Server 2008. Ao executar o DCDIAG, recebo um erro informando que os controladores de domínio falharam em algo como "teste MachineAccount". Eu esqueço a mensagem de erro exata. A mensagem aparece porque um administrador anterior moveu as contas de computador do controlador de domínio para fora da UO "Controladores de domínio". Eu sabia disso de antemão, mas agora me pergunto se isso pode causar novos problemas durante o processo ADPREP. Alguns documentos eu li problemas de estado com o Exchange e outros aspectos da infra-estrutura quando os objetos são movidos da UO controladores de domínio. Esta não foi a minha experiência até à data desde que tudo parece OK agora. Eu estou querendo saber se alguém tem experiência nesta área. Eu não gostaria de mover os objetos do Controlador de Domínio novamente antes de cobrir minhas bases e planejar com antecedência.

Obrigado.

active-directory windows-server-2008 domain-controller

por rick 09.08.2009 / 03:49

3 respostas

Tags active-directory windows-server-2008 domain-controller

SAN - Introdução e conselhos de compra Diferença entre “Windows Virtual PC” e “Microsoft Virtual PC”

score 6 · Answer 1

De link

Domain Controller OU

When domain controllers are added to the domain, their computer objects are automatically added to the Domain Controller OU. This OU has a default set of policies applied to it. To ensure that these policies are applied uniformly to all domain controllers, it is recommended that you do not move the computer objects of the domain controllers out of this OU. Failure to apply the default policies can cause a domain controller to fail to function properly.

Acho que o maior problema ocorre quando os DCs são colocados em UOs separadas que não têm a diretiva DC padrão aplicada, embora seja uma boa ideia mantê-los na UO de Controladores de Domínio, se eles estiverem em um recipiente de nome diferente. de qualquer maneira.

score 2 · Answer 2

Em teoria, você pode fazê-lo, mas no mínimo também precisará vincular seu GPO de Diretiva de Controlador de Domínio Padrão à nova OU e também atualizar qualquer item da partição de configuração que faça referência a DCs por nome distinto para refletir o novo local . Há também a questão do software de terceiros a considerar - alguns deles podem esperar que os DCs estejam em Controladores de Domínio, e chutem e gritem poderosamente, se não estiverem. Finalmente, se algo usar arquivos de configuração em vez de AD para armazenar sua configuração, esses arquivos de configuração precisarão ser revisados. Finalmente finalmente , uma verificação completa de tudo que funciona atualmente, incluindo uma reinicialização de servidores para liberar quaisquer referências armazenadas em cache, parece estar em ordem, pois alguns problemas podem se manifestar apenas durante a inicialização do computador ou do serviço. p>

Se tudo isso soa um pouco "huh, o que?" então você não deveria fazer isso. BAD administrador anterior!

score 2 · Answer 3

Apenas para adicionar minha própria experiência para os leitores:

Mudei minhas contas de controlador de domínio para uma unidade organizacional diferente ao reorganizar minha estrutura de diretórios ativa e também vinculei a mesma diretiva à nova unidade organizacional. Tudo parecia bem, até que reiniciei uma das minhas máquinas do SQL Server.

Após a reinicialização, a máquina não inicializou (presa na tela "Aguarde ..." durante a inicialização). Eu testei meu backup do SQL Server para ver se ele funciona, e vi que a conta de administrador não pôde fazer o login. Demorei dois dias (ainda bem que o sistema ainda não estava em produção!) Para descobrir que estava movendo a conta do DC para outra OU fazendo com que o serviço KDS (serviço de distribuição de chaves) falhe ao iniciar. E quando falhar, nenhuma das Contas de Serviço do AD funcionaria.

Mover a conta DC de volta corrigiu todos os problemas.

Meu único palpite é que o KDS usa o caminho completo do DC de alguma forma ...

Nota: isso foi em um ambiente Windows Server 2012.