我们inheritance了一个客户,在审计完他们的网站之后,他们曾经在端点上有一个站点到站点的VPN和另一个DC(这是森林中唯一的GC)。 之前的IT公司降级了这个,清理了AD,但从未把他们现在的主DC当成了GC。
我们想用2008R2盒子来replace现有的DC(2003),最好先将当前的DC换成GC,然后换上新的DC,还是不要紧? 考虑到新的DC将会成为GC。
我会build议(以及微软),你做所有的域控制器全球目录,除非你有一个很好的理由不要。
您需要networking访问域的RID主FSMOangular色所有者,然后才能升级可写域控制器。 否则,只有RODC可以创build,我猜不是你想要的。
但是要更直接地回答您的问题,域控制器不需要将全局编录升级到现有域。
编辑:我已经通过实验室testing进行了validation,certificate我能够将一个新的域控制器升级到现有的域,只有最less的一个非GC域控制器联机主pipeRID FSMO。 其他4个FSMO下降,没有全球目录。
以下是AskDS博客中关于其他原因的更多信息,即使在单域林中,也需要在线全局编录:
题
如果我的森林中只有一个域名,我需要一个全局目录吗? 大量的文件暗示了这种情况。
回答
所有那些只有“多域”的文件都是错误的。 您需要GC(即使在单一域的森林中)也适用于以下情况:
•反过来,如果您启用了IgnoreGCFailures( http://support.microsoft.com/kb/241789 ); 如果没有GC,打开它将从用户安全令牌中删除通用组,这意味着它们将会login,但是无法访问先前访问的资源)。
•如果您的用户使用UPNlogin并尝试更改密码(他们仍然可以使用UPN或NetBiosDomain \ SamAccountName样式login在单个域林中login)。
•即使使用通用组成员身份caching来避免站点中需要GC,该DC也需要GC来更新caching。
•部署MS Exchange(如果没有GC,所有版本的Exchange服务都将无法启动)。
•使用shell中的内置Find在AD中search发布的共享,已发布的DFS链接,已发布的打印机或提供选项“整个目录”的任何对象选取器对话框都将失败。
•DPM代理安装将失败。
AD Web服务(又名ADpipe理网关)将失败。
•CRMsearch将失败。
•可能是我不了解的其他第三方。