Пониженный контроллер домена все еще находится в подразделении контроллеров домена и сайтах и ​​службах AD

Пониженный контроллер домена все еще находится в подразделении контроллеров домена и сайтах и ​​службах AD

Я выполнил все нижеперечисленные действия, войдя в систему как администратор домена.

У меня было два сайта AD, каждый со своим контроллером домена. «Резервный» контроллер домена был через VPN-соединение типа «сайт-сайт», весь трафик был разрешен, и был ЕДИНСТВЕННЫМ сервером на этом сайте/подсети AD. Понимая, что бессмысленно иметь этот контроллер домена сам по себе в собственной подсети через VPN-соединение типа «сайт-сайт», я развернул 3-й контроллер домена на том же сайте/подсети, что и исходный контроллер домена.

Я оставил его на несколько дней, чтобы все три синхронизировались — убедился, что repadmin /showrepl и repadmin /replsummary все показали УСПЕШНЫЕ результаты. Ура! Перед понижением сервера, который сам по себе (на сайте/подсети AD на другом конце VPN-соединения «сеть-сеть»), я убедился, что DNS ВСЕХ других серверов-участников, присоединенных к домену, указывают на исходный DC и мой недавно созданный 3-й DC, а также убедился, что исходный DC удерживает ВСЕ роли FSMO (так и было). Так что на данный момент у меня 3 DC, все GC.

Сначала я понизил роль сервера, который находится сам по себе на удаленном сайте AD (я установил флажок «Принудительное удаление этого контроллера домена»), перезагрузился, затем повторно запустил добавление/удаление ролей во второй раз, чтобы УДАЛИТЬ роль ADDS, и перезагрузился. Увидев сообщение «УСПЕШНО ПОНИЖЕНО» (скриншот ниже), я подумал, что все в порядке. Затем я удалил сервер-участник из домена и перезагрузился. Я даже проверил, были ли открыты необходимые порты брандмауэра на серверах для надлежащей связи AD перед понижением и удалением роли ADDS:

  • TCP 53 (DNS)
  • TCP 88 (центр распространения ключей Kerberos)
  • TCP 135 (удаленный вызов процедур)
  • TCP 139 (служба сеанса NetBIOS)
  • TCP 389 (LDAP)
  • TCP 445 (SMB, сетевой вход)
  • TCP 464 (пароль Kerberos)
  • TCP 3268 (Глобальный каталог)
  • TCP 49152 – 65535 (случайно выделенные высокие порты)
  • UDP 53 (DNS)
  • UDP 88 (Керберос)
  • УДП 123 (НТП)
  • UDP 389 (LDAP)
  • УДП 445
  • УДП 464

Поскольку он был "УСПЕШНО ПОНИЖЕН", я не ожидал увидеть этот пониженный/удаленный-с-роли-ADDS/отсоединенный-от-домена сервер в OU Контроллеры домена или в Сайтах и ​​службах AD, но он там есть. Удивительно, но у него даже есть настройки NTDS -- большинство тем, которые я читал, только сервер все еще там, но без настроек NTDS под ним.

Есть мысли? Пожалуйста, предоставьтесоответствующие ССЫЛКИ, которые помогут вам с комментариями. Большое спасибо!!

ИЗВИНЕНИЯ, если этот вопрос не форматируется. Я чуть волосы себе не рвал, пытаясь разобраться во всем этом форматировании, и просто сдался!!!!

введите описание изображения здесь

решение1

В командной строке на оставшихся контроллерах домена выполните следующую команду:

nltest /dclist:ВашДомен

Если у всех них есть единое представление о том, какие контроллеры домена существуют, и ни один из них не содержит пониженный контроллер домена, то просто вручную очистите пониженный контроллер домена в ADUC, ADS&S и DNS.

Связанный контент