我有这个确切的问题事件 ID 4013:“DNS 服务器正在等待 Active Directory 域服务 (AD DS) 发出信号...”
两个 DC 和两个 DNS 服务器,但我的问题稍微复杂一些。因此,如果我重新启动域,我将无法登录域或访问资源,直到两个 DC 都完全启动并且 AD 能够执行初始同步。
这很烦人,但我的问题还不止于此,因为在 Server 2008 上,我的网络配置文件变为“未识别”,因为 DNS 未加载,而这个“未识别”配置文件打开了防火墙,阻止了 DC/DNS 流量。我的网络完全无法访问,除非我再次重新启动其中一个 DC/DNS 服务器或禁用配置文件上的防火墙。
当然,我可以通过禁用该配置文件上的防火墙来解决这个问题,但真的没有其他方法可以解决这个问题吗?这似乎是一个巨大的设计疏忽。
答案1
您需要配置域控制器,使得 DC1 上的主 DNS 解析器为 DC2,DC2 上的主 DNS 解析器为 DC1,然后在 DC1 和 DC2 上将 127.0.0.1 设置为辅助 DNS 解析器,最后,不要同时重新启动它们。错开重新启动。
以下是Microsoft 最佳实践分析器文章关于此事:
环回 IP 地址应配置为每个活动网络适配器上的 DNS 服务器之一,但不能配置为第一个 DNS 服务器。
如果环回 IP 地址是 DNS 服务器列表中的第一个条目,则 Active Directory 可能无法找到其复制伙伴。
在 DNS 服务器列表中包含自己的 IP 地址可提高性能并增加 DNS 服务器的可用性。但是,如果 DNS 服务器也是域控制器,并且它仅指向自身,或者在名称解析时首先指向自身,则这可能会导致启动期间出现延迟。因此,如果服务器也是域控制器,则在适配器上配置环回地址时要小心。环回地址应仅配置为域控制器上的辅助或第三 DNS 服务器。
是的,我知道微软已经做了一些工作来缓解复制“孤岛”问题,然而,这至今仍然是微软的最佳实践建议。
答案2
我仍然对人们对 AD 存在的问题感到惊讶。它已经存在了十三年多,其基本机制没有改变。当然,这里或那里进行了一些调整,但从本质上讲,它仍然需要一些基本的东西。
是的,微软据称已经解决了 DNS 孤岛问题,但要成功启动 Active Directory 域服务,该服务必须首先能够找出哪些服务器支撑着域和父林。不出所料,位置是通过 DNS 中的服务位置 (SRV) 记录发现的。
因此,如果您无法获得一个糟糕的 DNS 副本,您将无法启动 AD,因此您将无法启动 Active Directory 集成 DNS。就像 Ryan 所说的那样,将您的第一个 DNS 解析器指向另一个 DC,将第二个指向第三个 DC 或本地。就我个人而言,我会先使用两个远程 DC,然后再指向自己,因为后续的 DNS 服务器条目仅在无响应后才会使用。
至于 PDC Emulator FSMO,我不太明白那里发生了什么。除了下级服务之外,PDCe 仅在时间同步方面具有特殊用途。域中的非 PDCe DC 从 PDCe 获取时间,并且此 DC 可以配置为使用 RTS,也可以从根域的 PDCe 获取时间。
真正理解这类事情的一种方法是执行涉及 AD 的灾难恢复练习。我建议尝试一下,因为它迫使您了解 DNS 中的 _msdcs 区域、SYSVOL 复制、AD 复制监视(使用 REPADMIN)等内容。
</rant>