使用我的两个域控制器测试故障转移过程时出现了一点问题。
我有两个域控制器,DC1 和 DC2。
- DC1 具有所有 FSMO 角色,是 Active Directory 集成 DNS
- DC2 是 Active Directory 集成 DNS,是 DHCP 服务器。DHCP 范围将 DNS1 分配给 dc1,将 DNS2 分配给 DC2 以供客户端使用。
- DC1 和 DC2 都是全局编录 (GC)
当我关闭 dc1 以模拟 PDC FSMO 角色不可用时,就会出现问题。当我使用工作站登录时,在应用计算机设置屏幕上需要很长时间。它最终登录大约需要 3 分钟或更短的时间。这是常见的时间范围吗?
这是预期行为吗?我从未遇到过真正遇到此问题的情况,但我这样做是为了测试我们网络的可靠性,以防 dc1 停机几个小时。我的理解一直是,如果您的 DHCP 范围内有正确的 DNS 条目,则如果第一个 DNS 条目失败,工作站将直接转到第二个 DNS 条目进行登录。
我还尝试将工作站 DNS 设置为将 DNS1 条目设置为 DC2(仍然处于打开状态并正在运行,而 DNS2 为 DC1,我将其关闭以模拟故障),但仍然得到相同的结果,应用计算机设置的速度很慢。
我重新打开 dc1,并将 DNS 设置改回原样,XP 客户端可以像往常一样快速重新登录。因此,当我关闭拥有 FSMO 角色的第一个域控制器 DC1 时,会出现一些断开连接的情况,这会导致此登录缓慢的问题。
答案1
这是预期的行为。
您应该有另一个系统,即 DC,并且与具有 PDC 角色的 DC 位于同一 IP 子网中。第二个 DC 应该是具有 PDC FSMO 角色的 DC 的直接 AD 复制伙伴。如果您只有两个 DC,则在升级时它将成为直接副本。
例如,如果您只有这两个 DC,则第二个 DC 应该已经是第一个 DC (PDC) 的直接复制伙伴。您可以通过进入 AD 站点和子网 MMC(在管理工具下)并展开站点,展开 PDC DC,单击“NTDS 设置...”,然后检查复制发生的 DC(它将显示在 MMC 窗口的右侧窗格中)来验证这一点。它应该是第二个 DC。这表明两者是直接复制伙伴。
如果您拥有多个 DC,您可能需要进入 AD 站点和子网 MMC 并确定哪个 DC 是 PDC 的直接复制伙伴(按照上述步骤检查每个 DC,直到找到哪个 DC 与 PDC 一起复制)。站点内 AD 复制比站点间复制(AD 站点和子网中定义的两个 AD 站点之间的复制)更快。
一旦发生故障,这将允许您快速接管 PDC 角色,并将其交给作为直接复制伙伴的 DC。
我建议仔细阅读 PDC 角色提供的详细功能列表:
http://technet.microsoft.com/en-us/library/cc780487(WS.10).aspx
一些主要功能包括:
- 充当域的主要时间源,保持所有时间同步。
- 如果客户端/服务器不同步,您可能会遇到严重的身份验证问题
- 作为密码解锁和密码尝试失败的最终权威
- 充当主域浏览器