域控制器的常规卸载
我们现在已经有一些
Active Directory
的
部署及管理经验了,今天我们要考虑一个问题,如果一个域控制器我们不需要了,那应该如何处理呢?直接把它砸了是不对的,这未免太暴力了,和当前的和谐环境
有些格格不入哦。关键是,如果我们让这台域控制器直接消失,那么其他的域控制器就无法得知这个消息,每隔一段时间其他的域控制器还会试图和这个域控制器进
行
AD
复制,客户机也有可能会把用户名和口令送到这个不存在的域控制器上进行验证。如果这个被暴力卸载的域控制器还承担着一些操作主机角色,我们就更麻烦了。因此,我们进行域控制器卸载时,一定要把工作做到位,优先使用常规卸载,争取不留后患。
有些朋友可能会说,我也希望用常规卸载,但有时就是不能正常卸载,没办法,只好
…..
我们要分析一下,为什么域控制器无法正常卸载呢?当域控制器进行常规卸载时,
AD
的内容发生了变化,域控制器会把这个变化通知自己的复制伙伴,再由自己的复制伙伴通知其他域控制器。如果所有的域控制器都通知到了,那就肯定可以正常卸载,而且
DNS
记录,操作主机角色,
AD
复制拓扑等问题都可以迎刃而解。因此,域控制器卸载和域控制器之间的
AD
复制其实是一个硬币的两面,域控制器卸载时也要进行
AD
复制。想知道一个域控制器是否可以正常卸载,我们只要在
Active Directory
站点和服务中查看这个域控制器和它的复制伙伴是否可以
AD
复制就可以了,只要能进行
AD
复制,基本卸载域控制器时就没有问题。
我们举一个域控制器正常卸载的例子,拓扑如下图所示,我们准备卸载
shanghai
站点内的域控制器
perth
。从拓扑可以看出,
perth
的复制伙伴应该是
Firenze
,只要
perth
和
Firenze
之间可以进行
AD
复制,
perth
应该就可以进行域控制器卸载。
在
perth
上运行
Dcpromo
,如下图所示,出现
Active Directory
安装向导,向导判断我们准备把
Active Directory
删除,点击“下一步”继续。
由于
perth
并不是域内的最后一个域控制器,因此我们不能勾选“这个服务器是域中的最后一个域控制器”。
Perth
删除
Active Directory
后,需要我们设置本地管理员口令。
当
perth
上的
Active Directory
被删除后,
perth
将成为一个成员服务器。
Perth
开始了卸载域控制器的操作,注意下图,
perth
把
AD
的变化复制给了
Firenze
,这和我们事先的分析是吻合的。
OK
,
perth
成功地完成了域控制器的卸载,删除了
Active Directory
。
Perth
进行域控制器的卸载后,我们观察一下
DNS
服务器,如下图所示,我们发现
DNS
已经把
shanghai
站点的
SRV
记录自动更新了,
如下图所示,
shanghai
站点内的
Firenze
也把自己的复制伙伴从
Perth
改成了
Berlin
。
域控制器的数量也发生了变化,
Perth
已经不再是域控制器的一员。
这样我们就在
Perth
上完成了域控制器的常规卸载,这种卸载方式是我们的首选方法。当然,如果实在无法正常卸载,我们也要想想其他办法,下篇博文中我们将介绍如何进行域控制器的强制卸载。