当将新的 DC (2012 R2) 添加到域 (2008) 时,一切都很顺利,只是它从未作为 DC 进行宣传。经过一番诊断,我发现 ntfrs 复制从未启动,因此 sysvol 从未被复制,从而阻止 DC 上线。事件查看器显示 3 个可能的原因是:
[1] FRS 无法正确解析此计算机的 DNS 名称 xxxx.local。[2] FRS 未在 xxxx.local 上运行。[3] 此副本的 Active Directory 域服务中的拓扑信息尚未复制到所有域控制器。
查看 [1] 和 [2] 对我来说很清楚情况并非如此,但 3 可能是原因。检查所有 DC 后,我发现其中一个已关闭。我的问题很简单。如果域中的任何 DC 已关闭,我将永远无法将新 DC 添加到域?有没有其他解决方法,而无需先修复有问题的 DC?有没有办法禁用故障 DC,而无需暂时将其降级。
更新+修复:
如果域中的任何 DC 发生故障,我将永远无法向域中添加新的 DC?
是的。我需要先修复故障的 DC,然后才能添加新的 DC。
ntfrs 复制从未启动
DNS 和 LDAP 被其中一个站点阻止。为了快速修复,我创建了不同站点之间的连接以进行复制。我没有直接转到 PDC 主服务器,而是建立了一个 1 跳转的连接。虽然花费的时间更长,但当一些人正在打开所需的端口时,它起作用了。一开始很难识别,因为在 Ws2012 上安装和设置新 DC 的所有过程都顺利进行,包括所有复制(sysvol 除外),但由于某种原因,它没有尝试自动使用另一个 DC 来同步 SYSVOL,因为它无法直接与 PDC 同步。
答案1
如果域中的任何 DC 发生故障,我将永远无法向域中添加新的 DC?
无法访问的域控制器并不一定会阻止添加新的域控制器,除非关闭的域控制器提供新域控制器和域的其余部分之间的链接。
如果不先修复有问题的 DC,是否有其他解决方法?
鉴于您遇到的问题并非如此,我将换一种方式回答。您的第一个故障排除步骤是:
检查所有 Active Directory 服务是否正在运行且未抛出错误,无论是在出现问题的服务器还是至少与其链接的其中一个域控制器上。(如果您不明白我说的“链接”是什么意思,请继续阅读,我很快就会讲到。)
验证 DNS。您的新域控制器应有一个不同的域控制器(它可以连接到)作为其主 DNS 服务器,并且其本身作为辅助或第三 DNS 服务器。确保配置方式正确,并确保您确实可以连接到其他 DNS 配置服务器。
验证域控制器之间的链接。用于此操作的 GUI 应用程序称为 Active Directory 站点和服务,看起来有点像下面的屏幕截图。您需要在新域控制器和至少一个其他域控制器之间建立链接。它应该会自动生成,但您可以根据需要手动创建一个。
完成这些基本步骤后,就该深入研究事件日志、dcdiag 和其他 Active Directory 诊断/故障排除工具了,这似乎超出了您的“简单问题”的范围。