我们有一个域和两个域控制器(在 Windows Server 2008 Enterprise 上)。
大约一周以来,我们遇到了很多问题:一些用户无法登录 Windows(无法联系域)。有时重新启动 Windows 会有所帮助,但大多数情况下没有用。
作为管理员,我无法登录 DC0,但在 DC1 上我可以。例如,另一个管理员可以登录两个 DC。
我为两个 DC0 附加了 dcdiag /test:dns。DC0:
Directory Server Diagnosis
Performing initial setup:
Trying to find home server...
Home Server = DC0
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-Name\DC0
Starting test: Connectivity
......................... DC0 passed test Connectivity
Doing primary tests
Testing server: Default-First-Site-Name\DC0
Starting test: DNS
DNS Tests are running and not hung. Please wait a few minutes...
......................... DC0 passed test DNS
Running partition tests on : ForestDnsZones
Running partition tests on : DomainDnsZones
Running partition tests on : Schema
Running partition tests on : Configuration
Running partition tests on : our_domain
Running enterprise tests on : our_domain.si
Starting test: DNS
Test results for domain controllers:
DC: DC0.our_domain.si
Domain: our_domain.si
TEST: Records registration (RReg)
Network Adapter
[00000006] Intel(R) PRO/1000 MT Network Connection:
Warning:
Missing AAAA record at DNS server 193.77.60.214:
gc._msdcs.our_domain.si
Warning: Record Registrations not found in some network adapters
DC0 PASS PASS PASS PASS PASS WARN n/a
......................... our_domain.si passed test DNS
DC1:
Directory Server Diagnosis
Performing initial setup:
Trying to find home server...
Home Server = DC1
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-Name\DC1
Starting test: Connectivity
......................... DC1 passed test Connectivity
Doing primary tests
Testing server: Default-First-Site-Name\DC1
Starting test: DNS
DNS Tests are running and not hung. Please wait a few minutes...
......................... DC1 passed test DNS
Running partition tests on : ForestDnsZones
Running partition tests on : DomainDnsZones
Running partition tests on : Schema
Running partition tests on : Configuration
Running partition tests on : our_domain
Running enterprise tests on : our_domain.si
Starting test: DNS
Test results for domain controllers:
DC: DC1.our_domain.si
Domain: our_domain.si
TEST: Dynamic update (Dyn)
Warning: Failed to add the test record _dcdiag_test_record in zone our_domain.si
TEST: Records registration (RReg)
Network Adapter
[00000006] Intel(R) PRO/1000 MT Network Connection:
Warning:
Missing AAAA record at DNS server 193.77.60.213:
DC1.our_domain.si
Warning:
Missing AAAA record at DNS server 193.77.60.213:
gc._msdcs.our_domain.si
Warning:
Missing AAAA record at DNS server 193.77.60.214:
DC1.our_domain.si
Warning:
Missing AAAA record at DNS server 193.77.60.214:
gc._msdcs.our_domain.si
Warning: Record Registrations not found in some network adapters
DC1 PASS PASS PASS PASS WARN WARN n/a
......................... our_domain.si passed test DNS
这是 DC0 和 DC1 的 IP - 它们都是正确的(为什么有这么多?):
这是 DC0 上的“ipconfig /all”:
答案1
这里有几个明显的问题:
您所截屏的域控制器是多宿主的。这是一个问题。通常没有理由这样做,在 DNS 注册等方面需要特别注意。你遵循了这些吗?我假设没有。真的考虑重新设计你的网络以不是多宿主您的 DC。
您的 DC 首先使用自身进行 DNS 解析。这可能会导致出现您所遇到的复制孤岛。它们应该首先使用彼此,然后使用自身 (127.0.0.1)。
你提供的 193 地址是公共可路由 IP. 域控制器绝对没有理由需要通过互联网访问。这本身不会破坏您所看到的内容,但这是一个巨大的安全问题,您应该尽快修复。
答案2
好吧,由于评论对话看起来会永远持续下去,我将发布我认为的问题所在:
虽然最初看起来像是 DC0 的问题,但实际上这是两个控制器之间的复制问题,因此有问题的控制器是 DC1。
对您来说最简单的选项是关闭 DC1 并构建第三个域控制器 DC2,然后更改所有服务器和 DHCP 范围上的辅助 DNS 设置以指向此服务器。
只要您有一个稳定的域,我建议从域中删除 DC1 并保留它,自上次复制以来您在 DC1 上所做的任何更改都将丢失,这包括用户的密码更改和新用户帐户,因此需要您进行一些清理,但如果您无法自行修复复制问题(无意冒犯,我不相信您有能力做到),这是解决问题的最简单方法。
另一方面,如果您在 DC1 离线的情况下添加 DC2 并且仍然遇到问题,我建议您向当地的 Microsoft 专业人士寻求帮助。
答案3
(这只是对您的一个附带问题的部分回答……)
由于某种原因,您的 DC 有 6to4 地址。如果您确定您没有使用 6to4(您可能没有),那么您应该禁用它。
netsh interface ipv6 6to4 set state disabled
netsh interface teredo set state disabled