我继承了一个 Windows 2003 R2 域控制器,为了确保具有弹性,我添加了第二个 DC 作为带有 DNS 的附加 DC。
现在我关闭了主 DC,但由于未知原因,FSMO 角色没有转移到第二个 DC,因此身份验证失败,但我知道使用 Windows 2008 DC,角色会自动转移。
对于 Windows 2003 DC 设置,我是否必须手动将角色移动到第二个 DC?
谢谢
答案1
关闭 DC 不会转移 FSMO 角色。在旧 DC 上运行 DCPROMO 以将其降级会将 FSMO 角色转移到新 DC。
您可以使用 dcdiag 检查 FSMO 角色以及 DNS(以及 AD 的许多其他方面)。
听起来您还没有将新 DC 配置为 AD 客户端(包括 DC 本身)的 DNS 服务器。为了让 AD 客户端(包括 DC)找到 DC,它必须能够查询托管 AD DNS 区域的 DNS 服务器。如果一个 DC/DNS 发生故障,并且客户端(包括 DC)未配置为使用第二个 DC 进行 DNS,那么它们将永远找不到新 DC。