Windows_server_2003_AD_DC域配置-域控制器的卸载与清理我们现在已经有一些ActiveDirectory的部署及管理经验了,今天我们要考虑一个问题,如果一个域控制器我们不需要了,那应该如何处理呢?直接把它砸了是不对的,这未免太暴力了,和当前的和谐环境有些格格不入哦。关键是,如果我们让这台域控制器直接消失,那么其他的域控制器就无法得知这个消息,每隔一段时间其他的域控制器还会试图和这个域控制器进行AD复制,客户机也有可能会把用户名和口令送到这个不存在的域控制器上进行验证。如果这个被暴力卸载的域控制器还承担着一些操作主机角色,我们就更麻烦了。因此,我们进行域控制器卸载时,一定要把工作做到位,优先使用常规卸载,争取不留后患。有些朋友可能会说,我也希望用常规卸载,但有时就是不能正常卸载,没办法,只好…..我们要分析一下,为什么域控制器无法正常卸载呢?当域控制器进行常规卸载时,AD的内容发生了变化,域控制器会把这个变化通知自己的复制伙伴,再由自己的复制伙伴通知其他域控制器。如果所有的域控制器都通知到了,那就肯定可以正常卸载,而且DNS记录,操作主机角色,AD复制拓扑等问题都可以迎刃而解。因此,域控制器卸载和域控制器之间的AD复制其实是一个硬币的两面,域控制器卸载时也要进行AD复制。想知道一个域控制器是否可以正常卸载,我们只要在ActiveDirectory站点和服务中查看这个域控制器和它的复制伙伴是否可以AD复制就可以了,只要能进行AD复制,基本卸载域控制器时就没有问题。我们举一个域控制器正常卸载的例子,拓扑如下图所示,我们准备卸载shanghai站点内的域控制器perth。从拓扑可以看出,perth的复制伙伴应该是Firenze,只要perth和Firenze之间可以进行AD复制,perth应该就可以进行域控制器卸载。在perth上运行Dcpromo,如下图所示,出现ActiveDirectory安装向导,向导判断我们准备把ActiveDirectory删除,点击“下一步”继续。由于perth并不是域内的最后一个域控制器,因此我们不能勾选“这个服务器是域中的最后一个域控制器”。Perth删除ActiveDirectory后,需要我们设置本地管理员口令。当perth上的ActiveDirectory被删除后,perth将成为一个成员服务器。Perth开始了卸载域控制器的操作,注意下图,perth把AD的变化复制给了Firenze,这和我们事先的分析是吻合的。OK,perth成功地完成了域控制器的卸载,删除了ActiveDirectory。Perth进行域控制器的卸载后,我们观察一下DNS服务器,如下图所示,我们发现DNS已经把shanghai站点的SRV记录自动更新了,如下图所示,shanghai站点内的Firenze也把自己的复制伙伴从Perth改成了Berlin。域控制器的数量也发生了变化,Perth已经不再是域控制器的一员。这样我们就在Perth上完成了域控制器的常规卸载,这种卸载方式是我们的首选方法。当然,如果实在无法正常卸载,我们也要想想其他办法,下篇博文中我们将介绍如何进行域控制器的强制卸载。域控制器的强制卸载上篇博文中我们介绍了如何对域控制器进行常规卸载,本文中我们将介绍如何对域控制器进行强制卸载。为什么需要对域控制器进行强制卸载呢?如果域控制器不能和复制伙伴正常通讯,而且更正无望,那我们就要考虑进行强制卸载了。例如我曾见过一个单位有10个域控制器,居然有7个不能相互复制,主要是管理员误以为域控制器越多越好….类似这样的情况,我们就可以果断出手,把域控制器强行卸载掉。域控制器强行卸载的原理也很简单,那就是卸载时不再通知复制伙伴,直接把AD删除就好。这样的卸载方式是要相对简单一些,但其实后续的操作很麻烦,例如我们需要在ActiveDirectory中手工清除被强制卸载的域控制器,手工清除DNS中的SRV记录等。因此,如果不是万不得已,还是用常规卸载比较好。如下图所示,我们将利用如下图所示的拓扑为大家演示如何进行域控制器的强制卸载,我们进行强制卸载的目标是shanghai站点的Firenze。一强制卸载域控制器首先我们在被卸载的域控制器Firenze上打开cmd命令提示符,执行dcpromo/forceremoval,forceremoval参数的作用就是执行强制卸载,如下图所示,卸载向导提示我们这种卸载方式将不对其他域控制器的ActiveDi...
