今天,我(再次…)对一个遭受了可怕的USN回滚的域控制器进行了窥视。 这个问题的标准解决scheme是将其降级然后再次提升它,但是主要的问题是降级不起作用,因为USN回滚条件阻止任何复制发生,因此不允许DC降级执行最终的复制并优雅地死去。 通常,您最终closures服务器,从Active Directory中删除对它的任何引用,然后从头重新安装Windows。
但是,您可能在该服务器上有其他软件或数据; 或者,如果降级可能就足够了,你可能不想完全重build它。
所以,我的问题是:我怎样才能成功降级遭受USN回滚的域控制器?
我试过的:
我从networking中隔离了服务器,启动了降级过程,当被问及时,告诉它这是域中的最后一个DC; 但它仍然抱怨这是不正确的。
所以我从Active Directory副本中删除了所有其他的DC,然后按照上面的方法进行操作。 但是即使这样也失败了,因为无法复制一个目录分区的错误(对谁来说 ,应该是唯一的DC!)。
TL; DR: dcpromo /forceremoval 。
直接从AskDS博客:
要纠正这种情况,我们需要在有回滚问题的DC上执行以下操作。
1)通过运行dcpromo / forceremoval强制降级DC。 这将从服务器上删除AD,而不会尝试复制任何更改。 一旦完成并重新启动服务器,它将成为工作组中的独立服务器。
2)在其中一个复制伙伴上运行每个知识库文章216498降级的DC的元数据清除。
3)如果降级服务器拥有任何FSMO(灵活单主操作)angular色,则使用知识库文章255504将angular色占用到另一个DC。
4)一旦复制发生在您的环境中,您可以重新将降级的服务器重新join域,然后升级到DC。
当你这样做的时候,你可能会在脚下开枪自杀:
我从networking上隔离了服务器,启动了降级过程,当被问及时,告诉它这是域中的最后一个DC; 但它仍然抱怨这是不正确的。
所以我从Active Directory副本中删除了所有其他的DC,然后按照上面的方法进行操作。 但是即使这样也失败了,因为无法复制一个目录分区的错误(对谁来说,应该是唯一的DC!)。
如果我上面贴的build议不起作用,你可能应该给MS打一个支持电话(并且祈祷他们在你完成之后仍然会支持你)。
编辑:只是要清楚,标题问题的答案,“如何在USN回滚后保存域控制器? 是“你不”。
我的意思是,你不必完全重build机器(尽pipe包括我在内的大多数人都会build议你),但是现在作为DC使用已经结束了。 强制删除AD,将其从域中解除,对域中剩余的元数据进行元数据清理,完全复制并确保域名健康,然后重新join,最后重新宣传。