你好
我有 2 个 DC(服务器 2019)(1 个物理,1 个虚拟)运行良好,但上个月我确实注意到一些问题,例如我无法从 dc2 连接到 dc1。因此我打开事件查看器来查找多个错误和警告。
DC1 中的一些:
- 此服务器是以下 FSMO 角色的所有者,但认为该角色无效。对于包含 FSMO 的分区,自重新启动以来,此服务器尚未与其任何伙伴成功复制。复制错误阻止验证此角色。
- Microsoft Windows Server 检测到客户端和此服务器之间目前正在使用 NTLM 身份验证。客户端首次使用 NTLM 与此服务器通信时,每次服务器启动时都会发生此事件。
- Active Directory 域服务无法将源域控制器的以下 DNS 主机名解析为 IP 地址。此错误会阻止 Active Directory 域服务中的添加、删除和更改在林中的一个或多个域控制器之间进行复制。在此错误解决之前,域控制器之间的安全组、组策略、用户和计算机及其密码将不一致,这可能会影响登录身份验证和对网络资源的访问。
- DNS 服务器正在等待 Active Directory 域服务 (AD DS) 发出目录初始同步已完成的信号
- 此目录分区至少在以下天数内未备份。
自动注册在加入阶段失败。
退出代码:未知 HResult 错误代码:0x801c001d
无法注册服务主体名称“Microsoft 虚拟控制台服务”。
- DFS 复制服务无法联系域控制器以访问配置信息。复制已停止。服务将在下一个配置轮询周期(60 分钟后)重试。此事件可能是由 TCP/IP 连接、防火墙、Active Directory 域服务或 DNS 问题引起的。
在 DC2 上:
- DFS 复制服务无法联系域控制器以访问配置信息。复制已停止。服务将在下一个配置轮询周期(60 分钟后)重试。此事件可能是由 TCP/IP 连接、防火墙、Active Directory 域服务或 DNS 问题引起的。
- 事件 ID:5781
- 一些 DC1 事件。
我做了什么:
- 我确实搜索并尝试了在互联网上找到的几乎所有解决方案,但都没有成功。
- 我确实将虚拟的移到了物理的里面,以防问题出在我的交换机上。
- 从 DC 卸载 AV。
- 在第一个 DC 内运行我的第二个 DC(用于故障排除)。
我的发现:
- 将虚拟移动到物理内部对我有点帮助,我现在可以复制 DNS,但就是这样!
- 我发现了一件奇怪的事情:我可以从任何服务器通过名称访问 DC1(在文件资源管理器中),但 DC2 除外,而 DC2 只能通过 IP 地址访问 DC1!
更新:
原来这个问题是几天前恢复 DC1 时发生的。我了解到我不能像恢复其他机器一样恢复 DC!好的。我现在正在学习如何修复它:)
谢谢...
答案1
你说 ”DC2 仅通过 IP 地址访问 DC1“
这是我最担心的,AD 是非常依赖于 DNS(尤其是 SRV 记录)。解决此问题(或者甚至通过 \system32\drivers\etc\hosts 强制解析,直到它们正确同步)是首要任务。
还可能要确保两个 DC 使用相同的时间源(默认情况下您的 DC 模拟 PDC)。
“我确实将虚拟的移到了物理的里面,以防我的问题出在我的交换机上。“”。
这是否意味着您正在运行一个 DC在另一个使用 Hyper-V?我会尽量不这样做。理想情况下,你应该让你的 Hyper-V 盒子运行没有什么除了物理硬件上的虚拟机管理程序之外。
答案2
DNS。重点关注 DNS。确保两个 DC 中的记录反映相同的信息,确保一个 DC 上的更改反映在另一个 DC 中,反之亦然。您是否运行了 DCDIAG 并且通过了?我无法想象它通过了。
按照琴师说的一切去做,注意 SRV 记录并同步时钟。
第一个错误(FSMO)是 DNS 问题。(NTLM)可以在策略中修复。ADDS 错误又是 DNS。“DNS 服务器”和备份错误目前可以忽略。以下 3 个错误又是 DNS。
您的虚拟 DC 应该移动到另一台机器,并在那里工作。
再次设置时钟,然后关注 DNS,大部分问题就会消失。
答案3
修复:
- 从 DC 卸载 AV。
- 在第一个 DC 内运行我的第二个 DC。
我无法在 dc2 上运行 bing tcp 135,现在我可以这样做,但问题仍然存在。