Quels sont les problèmes qui peuvent survenir lorsque les contrôleurs de domaine ont été déplacés hors de l'OU des contrôleurs de domaine ?

De http://technet.microsoft.com/en-us/library/cc728418%28WS.10%29.aspx

Contrôleur de domaine OU

Lorsque le contrôleur de domaine au domaine, leurs objets informatiques sont automatiquement ajoutés au Domain contrôleur de domaine. Cette OU dispose d'un ensemble de stratégies lui est appliqué par défaut. Pour s'assurer que ces stratégies sont appliquées uniformément à tous les contrôleurs de domaine, il est recommandé de ne pas déplacer les objets informatiques du domaine contrôleurs de domaine hors de cette OU. Le fait de ne pas d'appliquer les stratégies par défaut peut entraîner contrôleur de domaine de ne pas fonctionner fonctionner correctement.

Je pense que le plus gros problème survient lorsque les DC sont placés dans des OU séparées qui n'ont pas la politique DC par défaut appliquée, bien que ce soit une bonne idée de les garder dans l'OU des contrôleurs de domaine s'ils sont juste dans un conteneur nommé différemment de toute façon.

En théorie, vous pouvez le faire, mais vous devrez au moins lier votre GPO de stratégie de contrôleur de domaine par défaut à la nouvelle OU et mettre à jour tout ce qui, dans votre partition de configuration, fait référence aux DC par un nom distinctif afin de refléter le nouvel emplacement. Il y a également la question des logiciels tiers à prendre en compte - certains d'entre eux peuvent s'attendre à Les DC doivent être dans les contrôleurs de domaine, et ils doivent donner des coups de pied et crier puissamment s'ils ne le sont pas. Enfin, si quelque chose utilise des fichiers de configuration au lieu d'AD pour stocker sa configuration, ces fichiers de configuration devront être revus. Enfin enfin En ce qui concerne l'utilisation de l'ordinateur, une vérification complète de tout ce qui fonctionne actuellement, y compris un redémarrage des serveurs pour effacer toutes les références mises en cache, semble s'imposer, car certains problèmes peuvent se manifester uniquement lors du démarrage de l'ordinateur ou du service.

Si tout cela vous semble un peu "hein, quoi ?", c'est que vous ne devriez pas le faire. Mauvais administrateur précédent !

Je voudrais juste ajouter ma propre expérience pour les lecteurs :

J'ai déplacé mes comptes DC vers un autre OU lors de la réorganisation de ma structure active directory, et j'ai également lié la même politique au nouveau OU. Tout semblait aller bien, jusqu'à ce que je redémarre l'une de mes machines SQL Server.

Après le redémarrage, la machine n'a pas réussi à démarrer (l'écran "Please wait..." est resté bloqué pendant le démarrage). J'ai testé mon serveur SQL de secours pour voir s'il fonctionnait, et j'ai constaté que le compte administrateur ne pouvait pas se connecter. Il m'a fallu deux jours (heureusement que le système n'était pas encore en production !) pour comprendre que c'était le déplacement du compte DC vers une autre OU qui provoquait l'échec du démarrage du service KDS (service de distribution des clés). Et lorsqu'il échoue, aucun des comptes de service AD ne fonctionne.

La réinstallation du compte DC a permis de résoudre tous les problèmes.

Ma seule hypothèse est que KDS utilise le chemin complet du DC d'une manière ou d'une autre...

Remarque : il s'agit d'un environnement Windows Server 2012.