我有一片拥有两台 DC 的森林,其中一台被添加为原始 DC 的对等体。
一个 DC 运行 Windows Server 2008,另一个运行 Windows Server 2008 R2。我可以在两台服务器上看到工作站都被分配了来自两个 DHCP 范围的 IP 地址,并且所有记录都在 DNS 中注册。
为了对域进行测试,我关闭了原来的 DC,以检查所有用户是否仍会向新的对等 DC 进行身份验证,但看起来他们并没有这样做,而且机器并没有登录到他们的本地帐户。
答案1
- 您可能希望第二台服务器是全局目录,除非您希望每次第一个 DC 出现故障时 Exchange(以及依赖它的其他所有软件)都会失败。您可以在 AD 站点和服务下的第二个 DC 的 NTDS 设置下找到该选项。
- 检查两台服务器上的 DHCP 作用域在 DNS 选项 006(DNS 服务器)中是否都有两个域控制器。一个好的做法是
DC1, DC2在 DC1 上列出,DC2, DC1在 DC2 上列出 - (完成上一步后),确保客户端可以解析域查找。运行
ipconfig /all以验证它们是否将两个域控制器都列为 DNS 服务器,然后执行nslookup domain.name。结果应该是两个域控制器 IP 地址的循环回复。 - 检查 DC2 在其 LAN 接口上是否将 DC1 作为主 DNS 服务器,以及 DC1 是否将 DC2 作为主 DNS 服务器。
127.0.0.1在两个 DNS 服务器上都将其设置为辅助 DNS 服务器 - 在两个域控制器上运行
dcdiag以发现任何问题 - 检查两个域控制器上的事件日志,以发现 dcdiag 未发现的任何问题
- 不要长时间断开其他域控制器的连接。只有在以下情况下才应这样做:短的时间段