域控制器的常規卸載
我們現在已經有一些Active Directory的部署及管理經驗了,今天我們要考慮一個問題,如果一個域控制器我們不需要了,那應該如何處理呢?直接把它砸了是不對的,這未免太暴力了,和當前的和諧環境有些格格不入哦。關鍵是,如果我們讓這臺域控制器直接消失,那麼其他的域控制器就無法得知這個消息,每隔一段時間其他的域控制器還會試圖和這個域控制器進行AD複製,客戶機也有可能會把用戶名和口令送到這個不存在的域控制器上進行驗證。如果這個被暴力卸載的域控制器還承擔着一些操作主機角色,我們就更麻煩了。因此,我們進行域控制器卸載時,一定要把工作做到位,優先使用常規卸載,爭取不留後患。
有些朋友可能會說,我也希望用常規卸載,但有時就是不能正常卸載,沒辦法,只好…..我們要分析一下,爲什麼域控制器無法正常卸載呢?當域控制器進行常規卸載時,AD的內容發生了變化,域控制器會把這個變化通知自己的複製夥伴,再由自己的複製夥伴通知其他域控制器。如果所有的域控制器都通知到了,那就肯定可以正常卸載,而且DNS記錄,操作主機角色,AD複製拓撲等問題都可以迎刃而解。因此,域控制器卸載和域控制器之間的AD複製其實是一個硬幣的兩面,域控制器卸載時也要進行AD複製。想知道一個域控制器是否可以正常卸載,我們只要在Active Directory站點和服務中查看這個域控制器和它的複製夥伴是否可以AD複製就可以了,只要能進行AD複製,基本卸載域控制器時就沒有問題。
我們舉一個域控制器正常卸載的例子,拓撲如下圖所示,我們準備卸載shanghai站點內的域控制器perth。從拓撲可以看出,perth的複製夥伴應該是Firenze,只要perth和Firenze之間可以進行AD複製,perth應該就可以進行域控制器卸載。
在perth上運行Dcpromo,如下圖所示,出現Active Directory安裝嚮導,嚮導判斷我們準備把Active Directory刪除,點擊“下一步”繼續。
由於perth並不是域內的最後一個域控制器,因此我們不能勾選“這個服務器是域中的最後一個域控制器”。
Perth刪除Active Directory後,需要我們設置本地管理員口令。
當perth上的Active Directory被刪除後,perth將成爲一個成員服務器。
Perth開始了卸載域控制器的操作,注意下圖,perth把AD的變化複製給了Firenze,這和我們事先的分析是吻合的。
OK,perth成功地完成了域控制器的卸載,刪除了Active Directory。
Perth進行域控制器的卸載後,我們觀察一下DNS服務器,如下圖所示,我們發現DNS已經把shanghai站點的SRV記錄自動更新了,
如下圖所示,shanghai站點內的Firenze也把自己的複製夥伴從Perth改成了Berlin。
域控制器的數量也發生了變化,Perth已經不再是域控制器的一員。
這樣我們就在Perth上完成了域控制器的常規卸載,這種卸載方式是我們的首選方法。當然,如果實在無法正常卸載,我們也要想想其他辦法,下篇博文中我們將介紹如何進行域控制器的強制卸載。
本文出自 “嶽雷的微軟網絡課堂” 博客,請務必保留此出處http://yuelei.blog.51cto.com/202879/140121