在降級域控制器之前我應該採取哪些預防措施？

我知道如何降級域控制器（以前做過），但我需要在一個比我之前做的更“重要”和嚴格控制的域上為兩個物理舊 DC 做這件事。我的問題是我應該執行哪些額外的檢查以確保在我降級域控制器後不會中斷。

有問題的域主要是虛擬化的（包括兩個新的 DC）。其中一個新的 DC 已經擁有 FSMO 角色一段時間了，沒有任何問題，它是域的權威時間伺服器。當我執行 dcdiag 時，它只失敗了一項測試 (NCSecDesc)。這個特定測試的失敗是可以接受的，因為我們永遠不會在這個域上擁有 RODC。所有成員伺服器的 DNS 設置都指向新的 DC。

作為降級前的實驗 - 我可以關閉這些 DC 一段時間以查看域在沒有它們的情況下繼續執行嗎？這不會導致複製問題或其他問題嗎？

似乎你已經想到了一切。

簡單地關閉它們最多會使 AD 對你猶豫不決，並且可能會在極端情況下減慢一些操作。什麼都不應該打破。

我在這裡看到的唯一危險*（從可用資訊中不清楚這是否真的危險）*是您的虛擬化平台可能依賴於您的 AD（→ 虛擬化 DC）。無論出於何種原因，在您的虛擬化平台關閉/被關閉後，這都會給您帶來**沉重的打擊；**因為存在循環依賴。

在這種情況下，您必須將兩者解耦，留下一個或多個物理 DC，或者做好維護或如何從災難中恢復的計劃。

引用自：https://serverfault.com/questions/577008