我们是一家小型商业智能公司,有总部和分公司。总部的 Active Directory 在 Windows 2012 R2 上运行,分公司的另一个 Active Directory 在 Windows 2012 上运行。两个办公室都通过站点到站点 VPN 连接。
当两个办公室之间出现连接问题或 PDC 发生故障时,辅助 AD 服务器也会发生故障。它未配置为 RODC。当我尝试检查域和信任下的域设置时,我收到错误
您无法修改域或信任信息,因为无法联系主域控制器 (PDC) 仿真器。请验证当前域和网络的 PDC 仿真器是否联机且正常运行。
用户无法进行身份验证,当我尝试访问用户和计算机时出现以下错误。
无法找到命名信息,因为:指定的域不存在或无法联系。请联系系统管理员以验证您的域是否已正确配置并且当前是否在线。
我看到两个域控制器都设置为 GC 服务器。我不是 Active Directory 方面的专家。我希望这是一个小问题,有人能帮我解决它。
答案1
在我看来,您遇到的是配置问题,而不是 AD 问题。
如果拥有 FSMO 角色(包括 PDC 仿真器角色)的 DC 出现故障,那么事情就会有点困难,但是如果您有第二个 DC,用户应该能够进行身份验证,您应该能够创建新用户,并且 GPO 等功能仍应该可以处理。
假设第二个 DC 确实是全局目录服务器,我将检查以下内容:
1) 第二个 DC 是否具有包含您域的 SRV 条目的 DNS 区域的副本 2) 远程站点上的客户端和服务器是否配置为使用第二个 DC 作为其 DNS 服务器? 3) 您是否已配置站点和服务,听起来您需要 2 个 AD 站点,一个用于总部,一个用于分支机构,确保您将适当的子网链接到它们,并且 DC 位于适当的站点中。
丢失具有 FSMO 角色的 DC 是一件麻烦事,您将无法添加新的 DC 或管理信任等,但您仍然可以管理域分区。打开 AD 用户和计算机时会收到错误,没关系。打开 ADUC 后,您需要做的就是右键单击 Active Directory 用户和计算机,然后选择更改域(以确保您连接到正确的域),然后右键单击 Active Directory 用户和计算机,然后选择更改域控制器并选择要用于管理对象的工作 DC。
失去域命名主机或任何其他 FSMO 角色不会在短期内影响您的网络。但最需要注意的是失去 PDC 仿真器,因为(除其他外)它充当您网络上的时间源。如果这是您分支机构的问题,那么您可能需要考虑设置备用时间源。