从命令行执行 gpresult /r 时,我注意到计算机域实验室从 2 个域控制器读取了策略。
计算机配置是从 DC1 读取的,DC1 是 DC2 的副本,而用户配置是从 DC2 读取的,因为知道 DC1 位于站点 A 而 DC2 位于站点 B。
这很奇怪,因为它不会发生在其他部门或其他实验室,而且我不确定是什么原因造成的,任何帮助都将不胜感激,尽管当我回显登录服务器时它返回 DC1。
答案1
听起来您尚未配置 Active Directory 站点和服务来定义子网,并指示哪些子网位于哪个站点。
您需要这样做,以便客户知道联系他们最近的 DC。
答案2
似乎在创建 GPO 时 DC1 和 DC2 之间存在复制问题,正如 Jim B 所说,通过执行 gpupdate /force 并重新启动解决了该问题。也许 DC 需要更多时间从站点 A 复制到站点 B,因为我们没有像 Mark Henderson 建议的那样配置站点和服务。
答案3
微软在 Windows 8/2012 中引入了一项新设置来影响这种行为。
计算机 > 策略 > 管理模板 > 系统 > 组策略:
“在策略刷新期间启用 AD/DFS 域控制器同步”
“启用此设置将导致组策略客户端连接到与 Active Directory 使用的 DFS 共享相同的域控制器。”
此外,LOGONSERVER 环境变量显示对用户帐户进行身份验证的域控制器。计算机可能已针对不同的域控制器进行了身份验证。您可以使用 nltest /sc_query:domainfqdn 显示用于对计算机帐户进行身份验证的域控制器。