长话短说,我们无意中结束了一个Windows Server 2003数据中心,现在已经超过了60天的逻辑复制时间。 和DC一样,它也是全球目录,我们唯一的authentication中心,运行Windows Server Update Services。
服务器已经在逻辑删除之后重新开启,但是我已经检查了所有其他的DC,并且都启用了严格的复制一致性。 所以我们不应该有任何遗留的东西复制到我们的其他区议会。 现在我已经closures了问题服务器,而我们正在弄清下一步该怎么做。
我已经做了一些调查,并将继续寻找,但到目前为止,我已经看到,修复它是有风险的,我们更好地从域中删除DC并重build它(我们正在等待升级此服务器到支持的操作系统,但目前没有备用的兼容服务器)。 看来,WSUS可以安装在新的服务器上,我们只需要把我们的客户指向它。 但我不知道我们在哪里与CA站在一起。
所以我的问题是:
我需要做些什么来安全地从我们的域名中删除服务器?
您必须删除活动目录对象和清理元数据。 如果您的域控制器运行Windows 2008R2或更高版本,则第二个(元数据)会自动完成。
更多信息: https : //technet.microsoft.com/en-us/library/Cc816907%28v=WS.10%29.aspx
我需要做什么来replace一个新的CA?
这是最棘手的部分,但由于您可以访问服务器,因此没有任何主要障碍。
你会发现微软网站上的各种程序,例如在这里或者最好是这个
我可以将WSUS安装在不同的服务器上,并将我们的客户指向它,还是有其他的事情需要去除旧的?
是的,这里没有任何技巧,只要将您的GPO更改为指向新的服务器即可。
我需要做什么才能从这台服务器上删除全局编录? (这不是域中唯一的GC)
这是第一点的一部分。
我应该问什么问题,但错过了?
我现在没有想到。
你应该问自己一个问题,就是为什么TSL是60天。 自Windows Server 2003 SP1 / Windows Server 2003 R2 SP2(大约八年)以来已经有180天了。 你应该改变到180天。 这个事件是微软把这个增加到180天的原因之一。 另一个原因是比TSL早的任何AD备份都会失效。
确定森林的墓碑寿命
https://technet.microsoft.com/en-us/library/cc784932%28v=ws.10%29.aspx
AD DS:在此林中生成的备份生存期应等于或大于180天
https://technet.microsoft.com/en-us/library/dd723674%28v=ws.10%29.aspx
首先是CA
备份和移动CA完整指南此处将CA从2003迁移到2012,但高级步骤如下
1)备份当前CA
这可以通过访问CA控制台并使用“备份”选项来完成,请确保在备份私钥时将数据库和日志备份)
2)备份CAregistry设置
导出以下项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
3)从Windows Server 2003中卸载CA Service
从控制面板内部,添加删除程序窗口组件
4)清理域中的CA信息。
使用网站和服务删除对失败网站支持页面的引用
5)安装Windows Server 2012 R2证书服务
使用angular色向导来执行此操作,包括networking注册angular色
6)configurationAD CS
从安装的angular色中selectAD CS,然后select“configuration”,select“企业CA”,“根CA”,并重要地使用现有的私钥(这些密钥在不同的环境中)从先前创build的备份中导入私钥
7)恢复CA
与备份相同的步骤,但恢复,恢复私人CA,数据库和日志时提示
8)恢复registry信息从上面导入registry备份
9)重新颁发证书模板
证书模板列表中单击相应的证书模板
其次WSUS
这可以移动或可以干净安装。 这里主要的是用新的服务器信息Technet指南来更新你的组策略
第三是域控制器
如果您仍需要此服务器作为域控制器,则需要执行以下操作。
1)从networking断开连接后重新启动服务器并运行dcpromo / forceremoval
2)夺取这个服务器的任何FSMOangular色到另一个服务器MS支持页面
3)从元数据清理活动域控制器Technet进行元数据清理
4)删除所有与原始服务器相关的DNS条目
5)重命名服务器(不是严格要求,但如果你错过了清理任何东西,这将为您节省旧引用的问题)
6)提升回DC