将新的 DC (2012 R2) 添加到域 (2008) 时,一切顺利,只是它从不宣传为 DC。做了一些诊断,我发现 ntfrs 复制永远不会开始,因此 sysvol 永远不会被复制,从而阻止了 DC 上线。事件查看器说 3 个可能的原因是:
[1] FRS 无法从这台计算机正确解析 DNS 名称 xxxx.local。[2] FRS 未在 xxxx.local 上运行。[3] 此副本的 Active Directory 域服务中的拓扑信息尚未复制到所有域控制器。
看看 [1] 和 [2],我很清楚不是这种情况,但 3 可能是原因。检查所有 dcs 我发现其中一个已关闭。我的问题很简单。如果域的任何 DC 出现故障,我将永远无法向域添加新的 DC?在不先修复有问题的 DC 的情况下,是否有任何解决方法?一些方法来禁用有故障的直流而不暂时降级它。
更新 + 修复:
如果域的任何 DC 出现故障,我将永远无法向域添加新的 DC?
是的。我需要先修复有故障的 DC,然后才能添加新的 DC。
ntfrs 复制永远不会开始
DNS 和 LDAP 被其中一个站点阻止。作为快速修复,我在不同站点之间创建了一个连接以进行复制。我没有直接去 PDC 主机,而是建立了一个连接 1 跳开。需要更长的时间,但在一些人正在努力打开所需的端口时工作。开始时很难识别,因为在 Ws2012 上安装和设置新 DC 的所有过程都正常,包括所有复制(sysvol 除外),但由于某种原因,它没有尝试自动使用另一个 DC 来同步 SYSVOL无法直接与 PDC 同步。
无法访问的域控制器不一定会阻止添加新的域控制器,除非关闭的域控制器提供了新域控制器和域的其余部分之间的链接。
鉴于这不是您真正遇到的问题,我将以不同的方式回答这个问题。您的第一个故障排除步骤是:
检查您的所有 Active Directory 服务是否正在运行并且没有抛出错误,无论是在这台有问题的服务器上,还是在它链接到的至少一个域控制器上。(如果你不明白我说“链接”是什么意思,请继续阅读,我很快就会到达那里。)
验证 DNS。您的新域控制器应该有一个不同的域控制器(它可以连接到)作为它的主要 DNS 服务器,并且它本身作为辅助或第三 DNS 服务器。确保它是这样配置的,并确保您可以实际连接到其他 DNS 配置的服务器。
验证域控制器之间的链接。用于此的 GUI 应用程序称为 Active Directory 站点和服务,看起来有点像下面的屏幕截图。您需要新域控制器和至少一个其他域控制器之间的链接。它应该是自动生成的,但如果需要,您可以手动创建一个。
在这些基本步骤之后,是时候深入了解事件日志、dcdiag 和其他 Active Directory 诊断/故障排除工具了,这似乎超出了您的“简单问题”的范围。