Como eu 'desconecto' um DC de backup do DC primário?

3

Estou no processo de alteração de servidores no sistema de Server 2012 R2 para Server 2016 . Para os DCs, presumo que o melhor plano seja:

create a 'new 2016 DC'
replicate from the 'current primary 2012 R2 DC'
transfer the primary roles to the 'new 2016 DC'
then decommission the '2012 R2 DC' that is being replaced.
then create a new 'backup 2016 DC'

No entanto, quando eu começo este processo, meu backup 2012 R2 DC atual tem tantos problemas que eu quero simplesmente removê-lo do domínio, já que ele será substituído de qualquer maneira.

Eu tenho visto muitos guias para remover um CD, mas não está claro para mim o que está realmente acontecendo. Devo assumir que o DC sendo removido nesses guias é, por necessidade, falar sobre um DC de backup? Eu presumo que desde que a remoção do último CD termine o domínio, certo?

A razão pela qual estou fazendo essa pergunta é que, inicialmente, quero me livrar do messed up backup DC para que eu possa recuperar o primary DC e colocá-lo pronto para ser replicado em new 2016 DC . Estou preocupado por não conseguir reparar o current primary DC se ele retiver algum artefato de seu relacionamento com o atualmente messed up backup DC . Eu tenho notado quando eu executo o dcdiag no PDC atual, ele desliga se o BDC não estiver pelo menos online. Isso causa minha preocupação de que o DC primário não poderá ser corrigido se eu não remover todas as conexões para o messed up BDC .

Daí a minha pergunta, como posso ter certeza de que o backup DC está totalmente descomissionado e o primary DC restante é novamente 'autônomo', ou seja, todos os remanescentes de seu relacionamento com o BDC são removidos.

Meus controladores de domínio executam tudo: ADDS, DNS, DHCP

(Esse é um post de acompanhamento de aqui )

    
por Alan 05.08.2017 / 00:13

1 resposta

3

Esta questão é muito ampla e carece de foco - por isso é difícil responder. Mas vou tentar dividi-lo em pequenos pedaços.

How do I 'disconnect' a backup DC from the primary DC?

Este processo é conhecido como "Demotion". Você rebaixou o controlador de domínio para se livrar dele. No passado, isso foi feito com dcpromo.exe . Hoje, você faz isso com o PowerShell Uninstall-ADDSDomainController ou com a GUI do Gerenciador do Servidor.

Você sempre quer preferir um rebaixamento "gracioso". Ou seja, um rebaixamento em que toda a conectividade de rede e a replicação do AD estejam funcionando, de modo que o controlador de domínio secundário possa informar os outros controladores de domínio no domínio que está sendo rebaixado.

Mas, às vezes, se a conectividade de rede for interrompida ou se a replicação for interrompida, de forma que o controlador de domínio que você deseja rebaixar não possa se comunicar com os outros DCs, será necessário rebaixar "com força" ou "sem coordenação" o DC. Isso foi feito com dcpromo.exe /forceremoval no passado, mas em sistemas operacionais mais recentes você usa o parâmetro -Force com o cmdlet PowerShell mencionado anteriormente ou marca a opção "Forçar remoção" na GUI do Gerenciador de Servidores.

A desvantagem de um rebaixamento DC "forçado" ou "deselegante" é que ele deixa metadados no Active Directory no restante dos DCs que devem ser limpos manualmente. Isso ocorre porque os outros DCs não sabiam que o DC descomissionado foi rebaixado - ele simplesmente "desapareceu". Mas tudo bem - a limpeza de metadados de controladores de domínio antigos é um processo bem documentado que você não precisa ter medo.

I presume the best plan is to:

create anew 2016 DC replicate from thecurrent primary 2012 R2 DC transfer the primary roles to thenew 2016 DC then decommission the2012 R2 DCthat is being replaced. then create a new 'backup 2016 DC'

Não tenho certeza se este é o melhor plano. Parece-me que após a execução deste plano, você terá que reconfigurar manualmente todos os clientes em sua rede para usar os novos endereços IP dos novos controladores de domínio como resolvedores de DNS. Talvez não seja um grande negócio se você tiver 10 clientes. Mas um negócio muito maior se você tiver 1000 +.

However, as I start this process my current backup 2012 R2 DC has so many problems I want to simply remove it from the domain since it is going to be replaced anyway.

Que tipo de problemas? Esse tipo de afirmação me assusta, porque demonstra que não entendemos bem o nosso ambiente para poder descrever o estado em que está. E sem esse conhecimento, é difícil saber quais ações tomar e quais ações evitar. / p>

I have seen many guides for removing a DC but it's not clear to me what is actually happening. Am I to assume the DC being removed in these guides is by necessity speaking about a backup DC? I assume this since removing the last DC ends the domain, right?

Como descrevi anteriormente, quando você rebaixa um controlador de domínio, ele remove os metadados de DCs do Active Directory. Coisas como objetos de conexão de replicação, registros DNS, objetos ntDSDSA (Configurações NTDS), etc. Isso acontece automaticamente em um rebaixamento elegante. Em uma remoção forçada, você tem que limpá-lo sozinho.

Sim, remover o último controlador de domínio de um domínio elimina o domínio da existência.

Em uma floresta de vários domínios, isso também exige a mesma conectividade do domínio filho para o domínio pai. Você precisa informar ao domínio pai que o domínio filho está indo tchau.

I am concerned I won't be able to repair the current primary DC if it retains any artifacts of its relationship with the currently messed up backup DC.

Mais uma vez, estou preocupado que você esteja colocando o carrinho antes do cavalo. Não sabemos quais são esses "problemas" dos quais você fala, mas é provavelmente uma ideia melhor que você recupere o domínio do AD antes de começar a reformulá-lo.

Hence my question, how do I make sure the backup DC is decommissioned completely and the remaining primary DC is once again 'stand alone', i.e. all remnants of its relationship to the BDC are removed.

Eu tentaria primeiro rebaixar seu controlador de domínio secundário normalmente e, em seguida, verificar em seu controlador de domínio existente que o objeto de configurações NTDS do DC descomissionado desapareceu e que não há erros graves de dcdiag ou em seu diretório Log de serviços.

Se o controlador de domínio não puder ser rebaixado normalmente, force-o e limpe os metadados usando o procedimento ao qual me vinculei anteriormente. Se você tiver mais de 1 CD restante após o rebaixamento, verifique se a replicação está íntegra e completa antes de continuar promovendo novos DCs. (Se você tem apenas 1 CD restante, então não há replicação).

Seja rápido, mas não tão apressado que você cometer um erro. Executar com apenas um único controlador de domínio é arriscado, portanto, você deseja obter o backup e a execução secundários.

HTH

    
por 06.08.2017 / 19:31