PnP*_*PnP 4 active-directory domain-controller windows-server-2008-r2
我们继承了一位客户,在审核他们的站点后发现他们曾经在端点拥有一个站点到站点 VPN 和另一个 DC(这是森林中唯一的 GC)。以前的 IT 公司对此进行了降级,清理了 AD,但从未将他们现在的主要 DC 设为 GC。
我们想用 2008R2 盒子替换他们当前的 DC(2003),最好先将当前 DC 设为 GC,然后再 dcpromo 新 DC,还是无所谓?请记住,新的 DC 将成为 GC。
Rya*_*ies 10
我建议(Microsoft 也是如此)将所有域控制器设为全局编录,除非您有充分的理由不这样做。
在提升可写域控制器之前,您需要对域的 RID 主 FSMO 角色持有者进行网络访问。否则,只能创建 RODC,我猜这不是您想要的。
但是为了更直接地回答您的问题,域控制器不需要将全局编录提升到现有域中。
编辑:我已经通过实验室测试验证,我能够将一个新的域控制器提升到现有域中,而最少的是一个托管 RID FSMO 的在线非 GC 域控制器。其他 4 个 FSMO 已关闭,并且没有全局目录已启动。
以下是来自精彩的AskDS 博客的更多信息,了解您希望在线全局目录的其他原因,即使是在单域林中:
题
如果我的林中只有一个域,是否需要全局编录?大量文件表明情况确实如此。
回答
所有那些说“仅多域”的文件都是错误的。您需要 GC - 即使在单域林中 - 用于以下内容:
• 相反,如果您启用了 IgnoreGCFailures ( http://support.microsoft.com/kb/241789 );如果没有 GC,打开它会从用户安全令牌中删除通用组,这意味着他们将登录但无法访问他们以前访问过的资源)。
• 如果您的用户使用 UPN 登录并尝试更改他们的密码(他们仍然可以使用 UPN 或 NetBiosDomain\SamAccountName 样式登录在单个域林中登录)。
• 即使您使用通用组成员缓存来避免站点中的 GC,该 DC 也需要 GC 来更新缓存。
• 部署了 MS Exchange(所有版本的 Exchange 服务都不会在没有 GC 的情况下启动)。
• 使用shell 中的内置查找在AD 中搜索已发布的共享、已发布的DFS 链接、已发布的打印机或任何提供“整个目录”选项的对象选择器对话框都将失败。
• DPM 代理安装将失败。
• AD Web 服务(又名 AD 管理网关)将失败。
• CRM 搜索将失败。
• 可能是我不知道的其他第三方。
| 归档时间: |
|
| 查看次数: |
1205 次 |
| 最近记录: |