フォレスト内のツリー ドメインの DC として新しく作成された DC (VM 上) がありますが、問題が発生しています。残念ながら、ダウンしたときにこのドメインに昇格した唯一の DC でした。
OS の状態が悪く (クラスが登録されていない、DCOM がオフライン、SFC と DISM が機能しない)、構成に使用できるネットワーク アダプターがないため、追加の DC を昇格するために OS にアクセスできません。
したがって、この時点で、別のドメイン ツリー (同じフォレスト) 内の DC からオフライン DC の役割を奪取することが可能になります。
それとも、これよりも良い選択肢があるのでしょうか?
上記の問題のトラブルシューティングには前向きですが、これまで試した方法はすべて「イメージを再作成するだけです」で終わります。もちろん、ネットワークが復旧し、別の DC を昇格できたとしても、いずれにせよこの VM は廃棄します。
オフライン ドメインをフォレストから手動で削除せずに再構築できるようにしたいと考えています。
アップデート
ネットワーク管理者が VM ホストを持つスイッチのポート セキュリティを有効にしていたことがわかったので、壊れた DC をネットワークに接続できるようになりました。
マシンはまだかなり壊れていますが、現在はほぼ完全に機能するドメイン コントローラーとして動作しています (方法はわかりません)。
現在の問題は、セカンダリ DC を追加して FSMO ロールを移動しようとしたときに、新しい DC が初期レプリケーションを正しく完了しなかったことです。PDC、RID、インフラストラクチャ ロールを移動することはできましたが、サーバーは適切にレプリケーションされておらず、実際に初期化されていないため、D2/D4 復元を実行できません (ADSI 属性を編集できません)。
OperatialRoles を元に戻そうとしましたが、壊れた DC からバイナリが見つからないというエラーが発生します。
基本的に、壊れた DC を取り出して再イメージ化できるように、2 番目の DC をオンラインにする必要があります (バイナリが不足しているため、壊れた DC を降格することはできません)。
答え1
それで、私はこの問題のほとんどを解決することができました。そして、私が見つけたものは次のとおりです。
私のネットワーク管理者は、制限モードでポート セキュリティを有効にし、MAC アドレスの数をデフォルトにしたため、スイッチはすべての VM に対してブラックホールになりましたが、ホストに対してはブラックホールではありませんでした。これが修正されると、PDC でネットワークが回復し、ADC が昇格されました。
ADC は初期同期を正しく実行しませんでした。PDC で Powershell が壊れていたため、新しく昇格したがまだ壊れている ADC で Powershell を使用して、PDC、RID、およびインフラストラクチャの役割を新しい DC に移動しました。
DFSR が新しい DC で機能しなかったため、DCDIAG は広告が壊れていて、SYSVOL NTLOGON フォルダーが同期されていないことを示しました。テスト サーバー: Default-First-Site\server
Starting test: Advertising
Warning: DsGetDcName returned information for
\\DC01.xyz.local, when we were trying to reach
DC02.
SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
この時点で私が読んだすべての記事では、Authoritative Restore を実行するように書かれていましたが、新しく昇格した DC の mDFSR-Enable および mDFSR-Options プロパティが ADSI 編集で変更できないという問題が発生しました。新しい DC は昇格を正しく完了していなかったため、最初のドメイン コントローラーで実行されているスキーマに接続して両方の DC のプロパティを編集する必要があることがわかりました。
ADSI に参加してからは、この記事を忠実に守りました。
新しい DC は PDC となり、すべての DCDIAG チェックに合格しました。
残念ながら、古い DC 上のすべてのバイナリとクラスが壊れているため、Unistall-ADDSDominController は機能せず、AD/DNS から手動で削除してメタデータをクリーンアップする必要があります。