当域控制器被移出域控制器OU时，会出现什么问题？

Question

我使用Server 2003域控制器管理网络。我计划用新的Server2008DC替换域控制器。在运行DCDIAG时，我收到一个错误，即域控制器在“测试MachineAccount”方面出现故障。我忘了准确的错误信息。出现此消息是因为以前的管理员将域控制器计算机帐户移出“域控制器”OU。我事先就知道这一点，但现在我不知道这是否会在亚太区域环境方案进程中引起新问题。在将对象从域控制器OU移出时，我阅读了一些与Exchange和基础结构的其他方面有关的状态问题。这不是我迄今为止的经验，因为现在一切似乎都好起来了。我想知道是否还有其他人在这方面有经验。我不想再移动域控制器对象之前，覆盖我的基础和计划前。

谢谢。

Answer 1

来自http://technet.microsoft.com/en-us/library/cc728418%28WS.10%29.aspx

域控制器OU当域控制器被添加到域时，其计算机对象将自动添加到域控制器OU中。此OU具有应用于它的默认策略集。为了确保将这些策略统一应用于所有域控制器，建议您不要将域控制器的计算机对象移出此OU。未能应用默认策略可能导致域控制器无法正常工作。

我认为最大的问题发生在DC被放置在单独的OU中，它们没有应用默认的DC策略，不过如果DC只是在一个不同名称的容器中，最好将它们保存在中。

Answer 2

理论上您可以这样做，但至少您还需要将默认的域控制器策略GPO链接到新的OU，并更新配置分区中任何通过区分名称引用do以反映新位置的内容。还有一个第三方软件需要考虑的问题--其中一些可能会期望DC在域控制器中，如果它们不是这样的话，就会大喊大叫。最后，如果某些东西使用配置文件而不是AD来存储配置，那么这些配置文件将需要检查。最后，对当前工作的所有内容进行全面检查，包括重新启动服务器以刷新任何缓存的引用，似乎是正确的，因为有些问题可能只在计算机或服务启动时才会出现。

如果这一切听起来有点“嗯，什么？”那你就不该这么做。糟糕的前任管理员！

Answer 3

为了给读者增添我自己的经验：

在重新组织我的活动目录结构时，我将DC帐户移动到另一个OU，并且我还将相同的策略链接到新的OU。一切看起来都很好，直到我重新启动了一台Server机器。

重新启动后，机器无法启动(停留在“请等待.”)在启动过程中屏幕)。我对备份SQL Server进行了测试，以确定它是否有效，并发现管理员帐户无法登录。我花了两天时间(幸好这个系统还没有投产！)为了找出它将DC帐户移动到另一个OU，导致KDS服务(密钥分发服务)无法启动。当它失败时，所有的AD服务帐户都无法工作。

将DC帐户移回，解决了所有问题。

我唯一的猜测是KDS以某种方式使用了DC的全部路径..。

注意:这是在Windows 2012环境中进行的。