完整操作步骤表,目的是彻底清理 S-DNS6 的残留 SRV 记录,并让 S-DNS1 全权承管 SYSVOL/NETLOGON
好的,我帮你整理一个 完整操作步骤表,目的是彻底清理 S-DNS6 的残留 SRV 记录,并让 S-DNS1 全权承管 SYSVOL/NETLOGON,同时保证 DFSR、Netlogon 和 DNS 正常。整个流程分为 准备阶段、清理阶段、确认阶段、修复阶段 四大步骤。
一、准备阶段(确认环境)
-
确认 S-DNS1 和 S-DNS6 的状态
-
在 S-DNS1 上:
nltest /dsgetdc:shuncom.local /pdc repadmin /replsummary dfsrdiag /getglobalstate -
在 S-DNS6 上:
net stop netlogon dfsrdiag /getglobalstate repadmin /replsummary -
确认 DFSR 全局状态和复制状态。S-DNS6 停止 Netlogon,不参与注册 SRV。
-
-
备份 DNS 和 SYSVOL
-
DNS:导出
shuncom.local区域。 -
SYSVOL:复制
C:\Windows\SYSVOL\sysvol和C:\Windows\SYSVOL\domain\scripts到安全位置。
-
二、清理 S-DNS6 残留 SRV 记录
目标:让 S-DNS6 不再出现在 _ldap、_kerberos、_gc 等 SRV 记录中,但不删除其他 DC 信息。
-
在 S-DNS1 上打开 DNS 管理器:
-
打开
DNS -> shuncom.local -> _msdcs.shuncom.local -
查找涉及
s-dns6.shuncom.local的 SRV 记录:-
_ldap._tcp.dc._msdcs.shuncom.local -
_kerberos._tcp.dc._msdcs.shuncom.local -
_gc._tcp.shuncom.local -
_ldap._tcp.gc._msdcs.shuncom.local
-
-
修改记录的优先级为高或权重为 0(Windows DNS 不支持“禁用”,可以手动降低优先级,使 S-DNS1 优先)。
-
可考虑 将 S-DNS6 SRV 移至其他备用站点 或在 DNS 上设置 禁止注册 DC 记录(在 S-DNS6 上注册表:
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DnsAvoidRegisterRecords)。
-
-
在 S-DNS6 上禁止注册 SRV:
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" /v DnsAvoidRegisterRecords /t REG_MULTI_SZ /d "_ldap._tcp._sites._tcp._gc" /f net stop netlogon net start netlogon-
可指定多条记录防止注册。
-
-
清理 DNS 缓存并强制刷新:
-
在 S-DNS1:
dnscmd /clearcache ipconfig /flushdns -
强制注册 DNS:
nltest /dsregdns /server:s-dns1.shuncom.local -
检查 SRV:
nslookup -type=SRV _ldap._tcp.dc._msdcs.shuncom.local nslookup -type=SRV _kerberos._tcp.dc._msdcs.shuncom.local nslookup -type=SRV _gc._tcp.shuncom.local
-
三、确保 S-DNS1 承管 SYSVOL/NETLOGON
-
检查 DFSR 状态(S-DNS1 上):
dfsrdiag /getglobalstate dfsrdiag backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /smem:s-dns1 /rmem:s-dns1-
确认无 backlog,状态为
已消除或开始。
-
-
启动 Netlogon 并注册共享:
net start netlogon nltest /dsregdns /server:s-dns1.shuncom.local-
确认 SYSVOL/NETLOGON 共享:
net share dir \\s-dns1\SYSVOL dir \\s-dns1\NETLOGON -
如果共享消失,手动创建:
net share SYSVOL=C:\Windows\SYSVOL\sysvol /GRANT:"Domain Admins",FULL net share NETLOGON=C:\Windows\SYSVOL\domain\scripts /GRANT:"Domain Admins",FULL
-
-
强制 DFSR AD 同步(S-DNS1 → S-DNS6):
repadmin /syncall /AdeP repadmin /showrepl
四、验证阶段
-
检查 AD 健康:
dcdiag /test:advertising /test:netlogons /test:sysvol-
确认 S-DNS1 通过所有测试。
-
确认 S-DNS6 不再出现在主要 SRV 记录列表中。
-
-
检查 SRV 注册:
nslookup -type=SRV _ldap._tcp.dc._msdcs.shuncom.local nslookup -type=SRV _kerberos._tcp.dc._msdcs.shuncom.local nslookup -type=SRV _gc._tcp.shuncom.local-
S-DNS1 应为主注册 DC。
-
S-DNS6 可保留,但权重最低或不注册。
-
-
确认 SYSVOL/NETLOGON 可用:
-
从其他 DC 或客户端访问:
\\s-dns1\SYSVOL \\s-dns1\netlogon
-
✅ 注意事项
-
S-DNS6 停止 Netlogon 并不删除 AD 内对象,只是避免注册 SRV。
-
手动共享可作为临时补救,但长期依赖 Netlogon。
-
所有 DNS 改动建议在业务低峰进行。
-
完成后可在 S-DNS1 上强制刷新 AD 和 DNS:
repadmin /syncall /AdeP nltest /dsregdns /server:s-dns1.shuncom.local ipconfig /registerdns
我可以帮你画一个 图解流程表,直观显示 S-DNS1 全权承管 + S-DNS6 禁止注册 + DFSR 流程,方便操作时参考。
你希望我画这个图吗?