如何刪除孤立網域控制站的 DNS 記錄?

tag-icon tag-icon windows windows-server-2008 active-directory domain-controller
如何刪除孤立網域控制站的 DNS 記錄?

過去似乎有兩個屬於該網域的網域控制站(DC1 和 DC2)未正確停用。我是根據域的_msdcs.contoso.comDNS 區域中的一些剩餘記錄(主要是子域下的 NS 記錄和 A 記錄)得出這一結論的gc

OU=Domain Controllers,DC=contoso,DC=com我可以在 Active Directory 使用者和電腦中或 Active Directory 網站和服務中的 NTDS 設定中看到我可以按照建議刪除的舊網域控制站的 Active Directory 對象清理伺服器元數據

如果我嘗試使用 ntdsutil 刪除孤立網域控制站的元數據,我會收到以下錯誤:

metadata cleanup: remove selected server dc1
Binding to localhost ...
Connected to localhost using credentials of locally logged on user.
LDAP error 0x22(34 (Invalid DN Syntax).
Ldap extended error message is 0000208F: NameErr: DSID-031001D1, problem 2006 (B
AD_NAME), data 8350, best match of:
        'CN=Ntds Settings,dc1'

Win32 error returned is 0x208f(The object name has bad syntax.)
)
Unable to determine the domain hosted by the Active Directory Domain Controller
(5). Please use the connection menu to specify it.


如果我嘗試手動選擇伺服器以便將其刪除,我發現它未列出:

select operation target: list servers in site
No active site list
select operation target: list domains
Found 1 domain(s)
0 - DC=contoso,DC=com
select operation target: 0
select operation target: select domain 0
No current site
Domain - DC=contoso,DC=com
No current server
No current Naming Context
select operation target: list sites
Found 2 site(s)
0 - CN=CONTOSO-JNU-HQ,CN=Sites,CN=Configuration,DC=contoso,DC=com
1 - CN=CONTOSO-JNU-DEPO,CN=Sites,CN=Configuration,DC=contoso,DC=com
select operation target: select site 0
Site - CN=CONTOSO-JNU-HQ,CN=Sites,CN=Configuration,DC=contoso,DC=com
Domain - DC=contoso,DC=com
No current server
No current Naming Context
select operation target: list servers in site
Found 2 server(s)
0 - CN=DC3,CN=Servers,CN=CONTOSO-JNU-HQ,CN=Sites,CN=Configuration,DC=contoso,DC=com
1 - CN=DC4,CN=Servers,CN=CONTOSO-JNU-HQ,CN=Sites,CN=Configuration,DC=contoso,DC=com


這是一個非常小的網域 - 我可以瀏覽該_msdcs.contoso.com區域並手動識別舊的 DNS 記錄並將其刪除。

我有什麼理由不應該這樣做嗎?

答案1

你沒有理由不這樣做,我打算推薦它作為答案。運行元資料清理將執行與清理 ADUC 和站點和服務相同的操作,但由於您收到錯誤,因此在我看來不值得進行故障排除,而只需靜下心來手動執行即可。不過,您需要深入了解的不僅僅是 _msdcs.domain.com 容器。瀏覽所有區域的所有資料夾,確保沒有任何記錄指向舊伺服器。既然您已經檢查了 ADUC 和 AD 網站和服務,那麼您就可以了,但請仔細檢查這些舊 DC 之一是否確實未在網站和服務中列出。由於它是一個小型網絡,這可能只是我的偏執狂,但我喜歡在刪除舊/退役 DC 的所有 DNS 條目後仔細檢查,我沒有在網站和服務中意外地跳過它。

答案2

如果您透過 DNS 管理器手動刪除與現已失效的 DC 對應的記錄,那就沒問題了。

清理功能應該會為您解決這個問題,但如果您已關閉此區域的清理功能,請隨時手動刪除記錄。

相關內容