删除ADSIEdit中的ForestDNSZones和DomainDNSZones是否安全？

好吧，看来你需要很多的指导，比我计划。 对不起，我没有想到你的问题，而只是几个职位来引导你正确的方向。 如果不清楚的话，我只是提供我的想法，如果我是你，我会做什么。 我希望你知道这里所做的一切的后果。 我也希望这有助于解决您的问题。 所以这里是我的答复的最后更新版本。

那么亲自，我会在尝试删除交叉引用之前备份AD。 您需要备份至less一个DC，其中包含您希望恢复的任何分区的可写入。 如果您不确定谁托pipe哪个分区，请备份所有DC。

您已经在一个环境中尝试过这个过程。 所以你知道涉及什么。 您可以使用任何能够删除交叉参考的工具来摆脱分区。 我之前已经使用adsiedit.msc删除了交叉引用，并期望您可以删除forestdnszones和domaindnszones。 如果沿着这条路线走下去，在最坏的情况下可能需要域/森林恢复和其他应用程序特定的恢复程序，否则将丢失数据。 它不太可能，但可能。 所以让我们把这个免责声明排除在外

否则，您可以使用ntdsutil，因为您似乎知道要删除这些分区。 “ntdsutil – 分区pipe理 – 删除NC”做交叉参考删除。 当交叉引用被删除时，DC复制更改并从其数据库中删除分区。 数据确实在这个过程中丢失了，所以只有在你确定的情况下才能做到。

请注意，正如您所说的，在msDS-NC-Replica-Locations中有一个DC，请通过使用adsiedit连接到该DC来查看您拥有哪些区域，并查看存储在forestdnszones和domaindnszones中的内容。 浏览分区，查看MicrosoftDNS容器下的区域列表。 删除交叉引用将删除正确托pipe应用程序分区的任何服务器上的所有区域数据。

您的屏幕截图和评论意味着无法查看是否有任何区域。 在这种情况下，除非您的区域位于其他地方，否则我认为会出现重大DNS问题。 要么检查时，或者你的区域不在domaindnszones和forestdnszones中，这样做是错误的。 只要记住，如果有的话，当crossref被删除时，你将会丢失它们。

有可能你在这些分区中有一些其他分区。 检查dnsmgmt.msc中的DNS / DC以查看它们具有的区域，并打开区域的属性，并检查复制范围顶部，看它是否与要删除的分区/交叉参考匹配。 由于每个DNS服务器都在registry中存储区域的configuration，因此您可以在每个区域的每个dc / dns上检查HKLM \ Software \ microsoft \ windows nt \ currentversion \ dns server \ zones以查看区域的加载位置。 如果您有静态logging或任何感兴趣的logging，请检查dnscmd，因为它具有/ zoneexport选项，以将区域数据导出为基于文件的区域文件。 您可以稍后使用这些备份来重新创build区域，并将其转换为dsintegrated。

您可以按照http://technet.microsoft.com/en-us/library/cc756116(WS.10).aspx#BKMK_4，使用dnscmd createbuiltindirectorypartitions开关重新创build一次删除的分区。

您也可以创build自己的应用程序分区，使用不同的名称，如DC = MyDnsPartition，并将区域存储在其中，并select所有森林区域或所有域控制器或自定义select和selectDC列表作为应用程序分区的成员来控制位置区域复制。 ForestDNSZones和DomainDNSZones是默认的应用程序分区，因为它符合大多数pipe理员的需求。 你不必使用它们。 如果您不能修复交叉参考并将其恢复为默认状态，您可以自己创build灵活性，并将其作为选项使用。

类似DC1的DC / DNS上执行的以下内容将创build分区和登记。 您可能需要企业pipe理权限。 我没有检查。

dnscmd / createdirectorypartition MyDNSApp

然后通过登记添加其他DC作为复制目的地。

dnscmd / enlistdirectorypartition MyDNSApp

如果在DC2上执行上述操作，则会发现一个名为DC = MyDNSApp的分区最终从DC1复制到DC2。 这显然假设您有站点链接和副本拓扑configuration允许您从这些来源复制。 我不想在这里把它作为一个大的话题。

一旦分区被删除，您将需要根据需要创build任何区域。 如果您有区域来代表这些分区中的AD域，则需要重新创build区域。 我会暂时把所有DC都指向一个DC，在那里你首先创build了分区，然后是区域。 然后重新启动netlogon或对每个dc使用“nltest / dsregdns”以使netlogon服务重新注册logging。 这可能需要一些时间。 我也偶尔dcs没有足够快地注册logging，创build一个空白区域（非广告集成）来表示域，将所有DC的netlogon.dns中的所有内容根据需要复制到c中的domain.com.dns文件：\ windows \ system32 \ dns，根据需要为DC添加Alogging，并在dnsmgmt.msc控制台中从文件重新加载区域，然后将其转换为集成的AD以复制出来。 我不是说你需要这样做。 我说这是为了让你知道如果事情出错，你可能需要做的工作。

希望这一切都有道理。 祝你好运！

我可能会考虑你的域命名主angular色，看看你是否可以看到任何问题。

 c:\> net helpmsg 9906 The application directory partition operation failed. The domain controller hold ing the domain naming master role is down or unable to service the request or is not running Windows Server 2003. 

确保您的域名命名主FSMOangular色所有者已启动并正在运行。 您可以通过打开AD域和信任mmc并右键单击AD域和信任来查找谁拥有此angular色。 select“操作主站”。 它会告诉你什么服务器担任这个angular色。 您也可以使用相同的方法将angular色转移到另一台服务器。