有一個新建立的 DC(在虛擬機器上),它是我們森林中樹域的 DC,但它有問題。不幸的是,當該網域發生故障時,這是我為該網域升級的唯一 DC。
作業系統狀況不佳(類別未註冊、DCOM 離線、SFC 和 DISM 不起作用)並且沒有網路適配器可用於配置,因此我無法存取它來升級額外的 DC。
因此,此時是否可以從另一個網域樹(同一林)中的 DC 中奪取離線 DC 的角色。
或者這方面有更好的選擇嗎?
我願意解決上述問題,但到目前為止,我所經歷的一切通常都以「你應該重新成像」結束。當然,即使我確實恢復了網路並且能夠升級另一個 DC,我還是會廢棄這個虛擬機器。
我希望避免手動從林中刪除脫機網域,以便我可以重建它。
更新
當我發現我的網路管理員啟用了具有 VM 主機的交換器的連接埠安全性後,我能夠在網路上取得損壞的 DC。
該機器仍然嚴重損壞,但它現在可以作為幾乎功能齊全的網域控制器工作(不知道如何)。
我現在的問題是,當我嘗試新增輔助 DC 和行動 FSMO 角色時,新 DC 未正確完成其初始複製。我能夠移動 PDC、RID 和基礎設施角色,但伺服器無法正確複製,並且因為它實際上沒有初始化,所以我無法執行 D2/D4 復原(無法編輯 ADSI 屬性)。
我嘗試將 OperatialRoles 移回原處,但我從損壞的 DC 中收到了丟失二進位檔案的錯誤。
基本上,我需要讓第二個 DC 聯機,以便我可以拉出損壞的 DC 並重新映像(由於缺少二進位文件,我無法將損壞的 DC 降級)。
答案1
所以我能夠解決這個問題的大部分,這就是我發現的。
我的網路管理員在限制模式下啟用了連接埠安全性,並且預設設定了 MAC 位址數量,因此交換器對我的所有虛擬機器來說都是黑洞,但對主機來說卻不是。問題解決後,我在 PDC 上恢復了網路並升級了 ADC。
ADC 未正確執行初始同步。由於 Powershell 在 PDC 上損壞,我在新升級但仍損壞的 ADC 上使用 Powershell,並將 PDC、RID 和基礎設施角色移至新 DC。
由於 DFSR 尚未在新 DC 上完成其工作,DCDIAG 顯示廣告已損壞且 SYSVOL NTLOGON 資料夾未同步。測試伺服器:預設第一站點\伺服器
Starting test: Advertising
Warning: DsGetDcName returned information for
\\DC01.xyz.local, when we were trying to reach
DC02.
SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
我此時讀到的每篇文章都說要做權威恢復,但我遇到了一個問題,即新升級的 DC 的 mDFSR-Enable 和 mDFSR-Options 屬性在 ADSI 編輯中不可更改。我發現我必須連接到第一個網域控制站上運行的架構才能編輯兩個 DC 的屬性,因為新 DC 從未真正正確完成其升級。
當我進入 ADSI 後,我就嚴格按照這篇文章進行操作。
新的 DC 現在是 PDC,並通過了所有 DCDIAG 檢查。
不幸的是,因為所有二進位檔案和類別在舊的 DC Unistall-ADDSDominController 上都混亂了,所以無法工作,我必須手動從 AD/DNS 中刪除它並清理元資料。