none
如何在2008 R2 域环境中迁移CA 或 如何把装有CA的故障域控制器降级并保留CA RRS feed

  • 问题

  • 问题1
    我原来的域控PDC上同时安装了CA服务  AD01
    后来这台PDC 我就说是AD01吧 出了异常 总是无法与其他域控完成复制 于是我就关机了
    其他域控已夺取了五大角色
    AD01现在是关机状态 
    我想把AD01从域中删除  同时保留CA

    这样会不会有什么需要注意的事项 能否给出具体的操作指导。


    问题2  如果宕机的域控在域里不删除 是否会有一些异常影响
    问题3  是否建议把AD复制问题排除掉重新上线呢 ,现在域控上的数据已经不一样了 ,如果重新上线会不会出现同步错乱 比如说新建的用户反而被删除

    hello xiaohuozi.



    2021年4月8日 1:38

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据您的描述,您之前是夺取FSMO角色,而不是转移FSMO角色。

    微软官网的建议是仅当先前的角色所有者不再返回域里时才会夺取FSMO所有角色。您现在已经把之前的FSMO角色的域控关机,不连接到与网络,是对的。

    以下是对您问题的回答,供您参考:
    问题1
    我原来的域控PDC上同时安装了CA服务  AD01
    后来这台PDC 我就说是AD01吧 出了异常 总是无法与其他域控完成复制 于是我就关机了
    其他域控已夺取了五大角色
    AD01现在是关机状态 
    我想把AD01从域中删除  同时保留CA

    这样会不会有什么需要注意的事项 能否给出具体的操作指导。
    回复1:这个需求应该不能做到的。
    因为被夺取FSMO所有角色的域控不允许再被连接到现有的域里,否则会有两个域控担任FSMO角色,可能会出现意想不到的问题。

    我们一直不建议ADCS安装在域控上,因为如果我们有一个带有AD CS的DC(它也是一台CA服务器),一旦此DC存在一些问题,并且想要降级该DC的话,我们需要首先删除AD CS,然后才能降级该DC。


    问题2  如果宕机的域控在域里不删除 是否会有一些异常影响
    回复2:如果宕机的域控连接到域的网络里会有影响的。否则会有两个域控担任FSMO角色,可能会出现意想不到的问题。

    如果有可能,并且您能够转移角色而不是抓住角色,请修复以前的角色所有者。 如果您不能修复以前的角色持有者,或者您抓住了角色,请从域中删除以前的角色持有者。

    重要
    如果计划将修复后的计算机用作DC,则建议您从头开始将计算机重装系统并重新创建为DC,而不是从备份中还原DC。 恢复过程将再次将DC重新构建为角色所有者。

    问题3  是否建议把AD复制问题排除掉重新上线呢 ,现在域控上的数据已经不一样了 ,如果重新上线会不会出现同步错乱 比如说新建的用户反而被删除
    回复3:这个应该不只是AD复制的问题,因为被夺取FSMO所有角色的域控不允许再被连接到现有的域里,否则会有两个域控担任FSMO角色,可能会出现意想不到的问题。

    所以综上来看的话,我们建议把之前的离线的域控在不连接现有域网络的情况下,强制移除干净,这样的话,CA也无法保留的。
    如果您还需要CA服务器,建议在域环境重新创建CA服务器角色。


    参考文档:

    Transfer or seize FSMO roles in Active Directory Domain Services
    https://docs.microsoft.com/en-US/troubleshoot/windows-server/identity/transfer-or-seize-fsmo-roles-in-ad-ds

    如有任何问题,欢迎您随时咨询我们。


    温馨提示:通常,我们希望域控只是域控,没有别的,因为这可以减少可能的资源冲突并利用漏洞,并最大程度地减少可能导致停机的其他应用程序的补丁。
    理想情况下,只需建立起来另一个DC即可轻松更换DC。
    当我们在一个DC上放置其他软件和角色时,DC可能更难以替换。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年4月8日 3:56
    版主
  • 感谢您的解答 十分受益 

    那么就现在的情况来讲,我是否可以将原来的故障PDC断网并开机,将CA备份,然后在新的成员服务器上还原呢?

    现在我的计划是这样的

    1. 断网开机、

    2. 将CA数据备份、

    3. 在域里强制清除这台域控的信息

    4. 将此服务器重新安装操作系统并使用先前的计算机名

    5. 安装CA角色并恢复。

    请问这个步骤有没有什么顺序问题或其他问题,有没有遗漏的操作?


    hello xiaohuozi.

    2021年4月8日 6:44
  • 如果重新创建CA角色  不需要考虑将原来的数据备份并恢复吗?

    hello xiaohuozi.

    2021年4月8日 7:12
  • 尊敬的客户,您好!

    感谢您的回复。

    您可以尝试一下您的方法和步骤,但是您即使可以把旧的域控开机,但是并没有连接到现有的域,我不太清楚这个备份是否可以正常备份,备份了以后还原CA是否可以正常使用。

    不过您可以试试,因为不太确定这期间是否需要连接域的地方。

    提示:将此服务器重新安装操作系统并使用先前的计算机名,一定要把之前的这台计算机在域里的信息清理干净。

    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年4月8日 9:22
    版主
  • 那原来的备份不是必须的吗?我新建CA不用考虑原来的数据也没有什么影响吗?如果旧数据必须迁移,那我应该怎么做呢?

    如果原来的CA旧数据不重要,还请您明确告诉我,我不太确定您的意思。


    hello xiaohuozi.

    2021年4月8日 10:02
  • 尊敬的客户,您好!

    如果旧数据必须迁移,那我应该怎么做呢?
    如果必须把CA从旧的服务器迁移到新的服务器,那就要备份CA,并还原到新的CA服务器。

    参考文档:
    Step-By-Step: Migrating The Active Directory Certificate Service From Windows Server 2008 R2 to 2019
    https://techcommunity.microsoft.com/t5/itops-talk-blog/step-by-step-migrating-the-active-directory-certificate-service/ba-p/697674

    那原来的备份不是必须的吗?我新建CA不用考虑原来的数据也没有什么影响吗?
    如果通过备份和还原,CA不能正常备份或者还原,那我们建议从头开始在新的服务器上搭建新的CA环境,这就跟旧的CA没有任何关系了。

    您可以先尝试上面的方法和步骤试试。



    此致,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年4月9日 1:23
    版主
  • 尊敬的客户,您好!

    请问您这个问题是否有任何进展?

    希望我上述的回复对您有帮助,如有任何疑问,欢迎您随时咨询我们。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年4月12日 6:06
    版主
  • 尊敬的客户,您好!

    好几天没有收到您的消息了,请问您这个帖子上的问题是否有任何进展?

    如有任何进展欢迎您随时告知我们。

    如还需要任何帮助,欢迎您随时咨询我们。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年4月15日 7:13
    版主