如何在 USN 回滾後保存域控制器而不重建整個伺服器?
今天我不得不(再次……)對遭受可怕的USN 回滾的域控制器進行 lobotomize ;此問題的標準解決方案是將其降級,然後再次將其提升回來,但主要問題是,降級不起作用,因為 USN 回滾條件阻止了任何複製的發生,因此不允許 DC 被降級執行其最終複製並優雅地死去。通常,您最終會關閉伺服器,從 Active Directory 中刪除對其的任何引用,然後從頭開始重新安裝 Windows。
但是,您可能在該伺服器上有其他軟體或數據;或者,如果降級就足夠了,您可能只是不想完全重建它。
所以,我的問題是:我如何才能成功降級遭受 USN 回滾的域控制器?
我嘗試了什麼:
我將伺服器與網路隔離,啟動降級過程,當被問及它是域中的最後一個 DC 時,我告訴它;但它仍然抱怨這不是真的。
因此,我從其 Active Directory 副本中刪除了所有其他 DC,然後執行與上述相同的操作;但即使這再次失敗,出現關於無法複製目錄分區的錯誤(對誰?它應該是唯一的 DC!)。
TL; 博士
dcpromo /forceremoval:.直接來自AskDS部落格:
要糾正這種情況,我們需要對存在回滾問題的 DC 執行以下操作。
通過執行 dcpromo /forceremoval 強制降級 DC。這將從伺服器中刪除 AD,而不會嘗試複製任何更改。一旦完成並重新啟動伺服器,它將成為工作組中的獨立服務。
在複製夥伴之一上執行根據知識庫文章 216498 降級的 DC 的元數據清理。
如果降級的伺服器擁有任何 FSMO(靈活單主操作)角色,則使用知識庫文章 255504 將角色搶占到另一個 DC。
一旦在您的環境中發生端到端複製,您可以將降級的伺服器重新加入域,然後升級到 DC。
執行此操作時,您可能會在腳上開槍:
我將伺服器與網路隔離,啟動降級過程,當被問及它是域中的最後一個 DC 時,我告訴它;但它仍然抱怨這不是真的。
因此,我從其 Active Directory 副本中刪除了所有其他 DC,然後執行與上述相同的操作;但即使這再次失敗,出現關於無法複製目錄分區的錯誤(對誰?它應該是唯一的 DC!)。
如果我在上面粘貼的建議不起作用,您可能應該撥打 MS 的支持電話(並祈禱他們在您完成後仍然會支持您。)
**編輯:**為了清楚起見,您的標題問題的答案,“如何在 USN 回滾後保存域控制器?” 是“你沒有”。
我的意思是,您不必完全重建機器,(儘管包括我在內的大多數人都會建議您這樣做),但目前它作為 DC 的使用已經結束。強制從中刪除 AD,將其從域中移除,清理域中剩餘的元數據,完全複製並確保域健康,然後重新加入,最後重新提升。