我使用Server 2003域控制器pipe理networking。 我打算用新的Server 2008 DC来replace域控制器。 当运行DCDIAG时,我收到一个错误,说明域控制器沿着“test MachineAccount”行发生了一些故障。 我忘记了确切的错误消息。 出现此消息是因为以前的pipe理员将域控制器计算机帐户移出了“域控制器”OU。 我事先知道这一点,但现在我想知道这是否会在ADPREP过程中引起新的问题。 一些文件,我已阅读状态问题与Exchange和基础结构的其他方面时,从域控制器OU中移动对象。 迄今为止,这一直不是我的经验,因为现在一切都好了。 我想知道是否有其他人有这方面的经验。 在覆盖我的基础和提前计划之前,我不想再次移动域控制器对象。
谢谢。
从http://technet.microsoft.com/en-us/library/cc728418%28WS.10%29.aspx
域控制器OU
当域控制器添加到域时,他们的计算机对象将自动添加到域控制器OU。 此OU具有应用于其的默认策略集。 为确保将这些策略统一应用于所有域控制器,build议不要将域控制器的计算机对象移出此OU。 未能应用默认策略可能会导致域控制器无法正常工作。
我认为最大的问题发生在DC被放置在没有应用默认DC策略的单独的OU时,尽pipe如果它们只是在不同的命名容器中,将它们保留在域控制器OU中是一个好主意。
从理论上讲,你可以做到这一点,但是至less你还需要将你的默认域控制器策略GPO链接到新的OU,并且更新你的configuration分区中的任何东西,这些东西通过专有名称引用DC来反映新的位置。 还有第三方软件的问题需要考虑 – 其中一些可能会期望数据中心在域控制器中,如果不是这样的话,就会大声疾呼。 最后,如果某些东西使用configuration文件而不是AD来存储它的configuration,那么这些configuration文件将需要被检查。 最后, 最后 ,全面检查当前正在工作的所有内容,包括重新启动服务器以刷新任何caching的引用,似乎是为了某些问题可能仅在计算机或服务启动过程中出现。
如果这一切听起来有点“呃,什么?” 那么你不应该这样做。 坏了以前的pipe理员!
只是为了给读者增加我自己的经验:
在重新组织我的活动目录结构时,我将我的DC帐户移动到了不同的OU,并且还将相同的策略链接到新的OU。 一切似乎都很好,直到我重新启动我的SQL Server机器之一。
重新启动后,机器启动失败(在启动过程中卡在“Please wait …”屏幕)。 我testing了我的备份SQL Server,看看它是否工作,并看到pipe理员帐户无法login。花了我两天(系统还没有在生产中的好东西!),以找出它正在移动DC帐户导致KDS服务(密钥分发服务)无法启动的另一个OU。 而当它失败,没有一个AD服务帐户将工作。
移动DC帐户返回修复所有问题。
我唯一的猜测是KDS以某种方式使用DC的完整path…
注意:这是在Windows Server 2012环境中。