市面上有大量关于如何正确管理 Windows 服务器的管理文献。但在实际生活中,事情并不总是如您所愿。在 Microsoft 的 Windows Server 2003 Administrator's Companion 中,在超过 1400 页的内容中,我只能找到一页关于设置附加域控制器的内容。他们让这一切听起来天衣无缝,并没有透露太多有关“对等”DC 无法复制时会发生什么的信息。
说到手头上的具体问题,大约一个月前,我们的一个 DC 因 RAID 控制器故障而瘫痪。没有什么严重问题需要立即引起注意,所以恢复它就被搁置了。一个月后,我们让 DC 恢复运行,一切似乎都很好。第二天,没有人能够登录,抱怨“用户不存在”或者“无法建立信任关系”。知道我刚刚将关闭的 DC 重新连接到网络上,我立即将其从网络上移除,并让每个人都重新启动工作站。之后,交换正常,共享可用,每个人都能够登录。在进行一些事件日志浏览后,似乎一切都是由于 SYSVOL 上的复制问题而开始的。我读过可以强制复制的地方,但这意味着将其重新连接到网络上。我害怕将 DC 重新连接到网络上,因为担心其他事情可能会出错。 那么,当两个 DC 超过一个月没有复制时,还会遇到哪些其他问题呢?
答案1
根据它们不同步的时间长度,你可能会遇到这样的情况:墓碑寿命之后,您就会开始遇到已删除对象恢复的问题。话虽如此,最低默认期限为 60 天,因此如果时间少于 60 天,您应该不会有任何问题。
AD(以及 DNS 和许多其他服务)处理同步问题的方式是每次进行更改时增加序列号。因此,如果您一直在使用PRIMARYDC
并进行更改,SECONDARYDC
则将获得较低的数字并遵循较高的数字。
如果您真的担心,您可以随时擦除SECONDARYDC
,手动将其从 Active Directory 中移除,重新映像,然后优雅地将其提升为另一个 DC。不过,我认为您可以安全地将其联机并解决您的 SYSVOL 问题。如果您想更加谨慎,请在下班后进行,以便在解决 SYSVOL 时不会出现不一致的情况。
编辑SECONDARYDC
下面的 Adaptr 提出了一个很好的观点 -如果您选择走这条路,请确保在擦除之前 没有分配 FSMO 角色。