Alan's questions

DC2（VM）未同步到 DC1（物理服务器）。在 DC2 上，我得到：

PS C:\> w32tm /query /source
Local CMOS Clock

我必须做什么才能使 DC2 同步到 DC1 作为其时间源？

背景： 我不得不更换 DC1，它是我的操作大师。没有机会优雅地降级 DC1；它只是从域中消失了。当我成功重新创建 DC1 时，DC2 是操作主机。AD DS 正确复制，我将 fsmo 角色转移到新的 DC1 并将 DC1 设置为“0.us.pool.ntp.org”。DC1 返回一个良好的条形图。我再次确认所有 fsmo 角色都设置为 DC1。我已确认 DC2 的 Hyper-V 集成服务未选中时间同步。

我花了一些时间研究这个，但到目前为止还没有找到将 DC2 移出它的 CMOS 时钟的 w32tm 序列/命令。在这一点上，我需要一点帮助或提醒如何做到这一点。

在初始帖子后添加：我确实发现了以下 DC2 dcdiag 错误：

Starting test: Advertising
   Warning: VSVR-WBC-DC02 is not advertising as a time server.
   ......................... VSVR-WBC-DC02 failed test Advertising

A warning event occurred.  EventID: 0x00000081
  Time Generated: 12/27/2018   14:50:05
  Event String:
  NtpClient was unable to set a domain peer to use as a time source
  because of discovery error. NtpClient will
  try again in 15 minutes and double the reattempt interval thereafter.    
  The error was: The entry is not found. (0x800706E1)

Running enterprise tests on : wbc.local
 Starting test: LocatorCheck
    Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
    A Primary Domain Controller could not be located.
    The server holding the PDC role is down.
    Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
    A Time Server could not be located.
    The server holding the PDC role is down.
    Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed,
    A Good Time Server could not be located.
    ......................... wbc.local failed test LocatorCheck

DC1 dcdiag 错误：

Starting test: Advertising
   Warning: DsGetDcName returned information for \\vsvr-wbc-dc02.wbc.local, 
   when we were trying to reach SVR-WBC-DC01.
   SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
   ......................... SVR-WBC-DC01 failed test Advertising

 Starting test: NetLogons
    Unable to connect to the NETLOGON share! (\\SVR-WBC-DC01\netlogon)
    [SVR-WBC-DC01] An net use or LsaPolicy operation failed with error 
    67, The network name cannot be found..

  Starting test: SystemLog
     A warning event occurred.  EventID: 0x0000002F
        Time Generated: 12/27/2018   14:56:32
        Event String:
        Time Provider NtpClient: No valid response has been received from
        manually configured peer 0.us.pool.ntp.org
        after 8 attempts to contact it. This peer will be discarded as a
        time source and NtpClient will attempt to discover a new peer
        with this DNS name. The error was: The peer is unreachable.

Running enterprise tests on : wbc.local
  Starting test: LocatorCheck
     Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
     A Time Server could not be located.
     The server holding the PDC role is down.
     Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1355
     A Good Time Server could not be located.
     ......................... wbc.local failed test LocatorCheck

系统： 使用 Hyper-V 的单个托管服务器托管除一台服务器之外的所有服务器。第二台独立服务器充当操作主机域控制器 DC1。一张图表在这篇文章的底部。

情况： 上次更新所有密码时，过程中出现了问题；这个过程有史以来第一次失败了。下次尝试访问任何“密码更新”机器时，记录的新密码不起作用。这包括引发危机的整体管理员密码。虽然整个系统都在工作，但没有一个服务器可以访问，包括主机。

迄今为止的进展：使用整个系统的最新备份轻松恢复了主机服务器及其所有虚拟机。几乎没有数据丢失，似乎任何关键数据都可以通过其他方式访问。独立 DC1 已断开连接，以防止它使用现已丢失的密码自动更新已还原的 VM DC2。恢复的 Hyper-V 环境运行良好，所有计算机都已更新为新密码，包括 DC2 上的总体管理员密码。所以这是一种解脱。

寻求帮助： 将独立 DC1 重新引入系统的最佳/正确/最简单的方法是什么？

我只是想知道是否有办法避免从头开始重建独立的 DC1。我知道我可以将 FSMO 角色重新捕获到剩余的单个 DC2 上，使其成为新的操作主机，然后有效地将重建的独立 DC1 添加回系统中。但是，如果有更简单的方法来做我想知道的事情。

有人告诉我有一种方法可以从 USB 驱动器之类的东西启动服务器，然后以某种方式进入并重新获得机器的主帐户。这是真的吗？我一直持怀疑态度，因为我认为我们在这些系统中拥有的所有安全性都不会那么容易被绕过，所以我希望能对这个想法有所了解。

如果我只是将独立 DC1 重新连接回系统会发生什么？这会用之前的“丢失”密码覆盖现有的 DC2，让我们回到灾难发生后的位置吗？

最后添加的问题：因为这是一个小型启动操作，我们没有专门的 IT 人员来确保遵循每个最佳实践，这很明显，因为这个问题首先发生。“更改密码”屏幕上有一个链接，显示“创建密码重设盘”。我将假设不这样做我们犯了一个“愚蠢”的错误。该过程是否会创建一些允许我们绕过我们现在正在经历的恢复过程的东西？

我正在尝试将 2012 R2 服务器加入由另一台 2012 R2 服务器控制的域。该域是一个测试域，但它可以工作。我将另一台服务器加入了该域。

但我一直在尝试创建一个可以克隆的 VM 映像，而且它似乎工作正常。启动后，出现 OOBE，要求提供产品密钥。

但是当我尝试将机器加入域时，它失败了。我没有立即收到 SID 重复错误，但最终它出现了。所以我运行了来自 Microsoft 的 PsGetsid64 可执行文件，果然，这台服务器的 SID 与我的域控制器相同（也是从相同的模板创建的）。

我重新运行了 sysprep，并重新导入了 VM，但仍然具有相同的 SID。所以我运行了 sysprep，我仍然有相同的 SID。

很明显，我在这里遗漏了一些非常基本的东西。有人请教新手。

有很多关于重新建立失去的信任关系的帖子，但我认为这种情况与我所读到的不同。

我的网络中有 2 个 2012 R2 DC，当主 DC 发生故障时，辅助 DC 没有保持域。我修复了主 DC，但无法完全解决辅助 DC 的问题，我无法让新的辅助 DC 正确复制。

因此，当我创建新的主 DC 和辅助 DC 时，我从头开始不理会旧的主 DC。即完成。除了在构建过程中过去 24 小时的一些小系统日志问题外，两个 DC 上的 Dcdiag 都很清楚，并repadmin /showrepl显示两种方式都成功复制。

所以现在我需要将我的所有客户加入到“新”域，除非它不是全新的。域具有相同的名称，但不是同一组 DC。

本地服务器事件列表显示客户端 PC 正在尝试连接，因为他们看到域中的 DC 与以前同名。事件说要重新建立信任关系，因为他们的 SID 不正确，但实际上比这更复杂。他们无法连接，因为我还没有创建他们的用户帐户以便他们获得 SID。

为了继续，我想寻求指导，以确保我以不会产生问题的方式将客户加入域。我只有 11 个帐户要创建，所以不会太繁琐。但我担心如果我没有正确执行此操作，我会产生额外的问题。

所以我的问题是：

如何将客户端重新加入新域，该域实际上与以前的域名相同？我是否只是简单地创建了他们的帐户，然后让他们使用我在创建他们的帐户时最初设置的密码进行登录？我是否要断开他们与域的连接，然后重新加入？其中一个客户端是使用一系列帐户名的 TFS 服务器。如果我断开它与域的连接，是否会产生一系列问题，使其无法连接到新的 DC？

最后，这次不是我需要它，而是我可以使用一种机制将 DC 数据保存在从旧主 DC 导出的某种导出中，而这些导出可以导入到新的主 DC 中？一种挽救数据的“最后一搏”尝试。我知道这就是二级 DC 应该做的。

我正在将系统中的服务器从 更改Server 2012 R2为Server 2016. 对于 DC，我认为最好的计划是：

create a `new 2016 DC`
replicate from the `current primary 2012 R2 DC`
transfer the primary roles to the `new 2016 DC`
then decommission the `2012 R2 DC` that is being replaced.
then create a new 'backup 2016 DC'

然而，当我开始这个过程时，我的当前backup 2012 R2 DC有很多问题，我想简单地将它从域中删除，因为它无论如何都会被替换。

我看过很多关于移除 DC 的指南，但我不清楚实际发生了什么。我是否假设在这些指南中删除的 DC 必然是在谈论备用 DC？我假设这是因为删除最后一个 DC 会结束域，对吗？

我问这个问题的原因是我最初想摆脱 ，messed up backup DC以便我可以primary DC恢复健康并准备复制到我的new 2016 DC. current primary DC我担心如果它保留与当前关系的任何工件，我将无法修复它messed up backup DC。我注意到当我在当前 PDC 上运行 dcdiag 时，如果 BDC 至少不在线，它就会挂起。这让我担心如果我不删除与messed up BDC.

因此，我的问题是，我如何确保backup DC完全退役而其余primary DC部分再次“独立”，即删除其与 BDC 关系的所有残余。

我的 DC 运行一切：ADDS、DNS、DHCP

（这是从这里开始的后续帖子）

我正在将我的系统从 2012 R2 升级到 2016 服务器。在此过程中，我发现当我的 PDC 关闭时，我的辅助域控制器没有联机。我运行了 dcdiag 并在尝试修复错误后决定使用新的域控制器重新开始可能会更容易。

但是，我对这些问题不是很有经验，我想问一下我需要注意什么，或者我可能需要采取哪些重要步骤来避免有经验的操作员熟悉但我可能不熟悉的问题。我知道基础知识。我创建了 PDC 和辅助服务器并将它们连接起来进行复制。在某一时刻，我什至清理了所有错误。当问题发生时，我只是没有跟上解决问题的步伐。

系统相当小。一个 TFS 服务器、构建机器和几个客户端 PC。我可以轻松地写下所有计算机、服务帐户和用户，并在必要时重新输入它们。但我想确保我不会错过任何可能导致需要大量工作才能修复的问题的步骤。

我在Microsoft找到了这个链接。虽然它较旧，但我想知道这些步骤是否仍然是一个很好的指南。本指南谈到更换单个域控制器，这实际上是我的情况，因为我的辅助 DC 无论如何都不再正常运行。

在每个请求的初始帖子之后添加评论：dcdiag /q PDC 上的输出。当然 BDC 也有一系列错误，第一个 BDC 错误很重要：BDC 广告失败，我不知道如何修复它。

在 PDC 上，第一个错误：

There are warning or error events within the last 24 hours after the
SYSVOL has been shared.  Failing SYSVOL replication problems may cause
Group Policy problems.
     ......................... VSVR-WBC-DC01 failed test DFSREvent

第二个错误：

An error event occurred.  EventID: 0xC0000827
    Time Generated: 08/02/2017   12:13:42
    Event String:
 Active Directory Domain Services could not resolve the following DNS
 host name of the source domain controller to an IP address. This error
 prevents additions, deletions and changes in Active Directory Domain 
 Services from replicating between one or more domain controllers in the 
 forest. Security groups, group policy, users and computers and their 
 passwords will be inconsistent between domain controllers until this error 
 is resolved, potentially affecting logon authentication and access to 
 network resources.

 A warning event occurred.  EventID: 0x8000051C
    Time Generated: 08/02/2017   12:18:06
    Event String:
The Knowledge Consistency Checker (KCC) has detected that successive
attempts to replicate with the following directory service has consistently 
failed.
     ......................... VSVR-WBC-DC01 failed test KccEvent

第三个错误和证据我很长时间未能在 DC 上登记。我不会再这样做了！

[Replications Check,VSVR-WBC-DC01] A recent replication attempt failed:
  From VSVR-WBC-DC02 to VSVR-WBC-DC01
  Naming Context: DC=ForestDnsZones,DC=wbc,DC=local
  The replication generated an error (8524):
  The DSA operation is unable to proceed because of a DNS lookup failure.
  The failure occurred at 2017-08-02 12:14:07.
  The last success occurred at 2015-10-09 17:57:42.
  11059 failures have occurred since the last success.
  The guid-based DNS name 8e9f6660-68b8-4273-b79c-6be31f66cd9d._msdcs.wbc.local is not registered on one or more DNS servers.
     ......................... VSVR-WBC-DC01 failed test Replications

上面的 (8524) 错误又重复了 4 次，但为了实用起见，这里只显示一次。

第四个错误：

The DS has corrupt data: rIDPreviousAllocationPool value is not valid
     ......................... VSVR-WBC-DC01 failed test RidManager

第五个错误：

An error event occurred.  EventID: 0x00000423
    Time Generated: 08/02/2017   12:13:21
    Event String:
    The DHCP service failed to see a directory server for authorization.

An error event occurred.  EventID: 0x0000410B
    Time Generated: 08/02/2017   12:13:35
    Event String:
    The request for a new account-identifier pool failed. The operation
    will be retried until the request succeeds. The error is
     ......................... VSVR-WBC-DC01 failed test SystemLog

上面的 EventID: 0x00000423 错误重复了一次，但为了实用起见，这里只显示一次。

感谢您希望查看 dcdiag 报告。因为错误列表很长，而且我在清理东西时遇到了麻烦，这就是我决定重新开始的原因。因此，我的问题是，我必须注意什么或做什么才能使 DC 游戏尽可能轻松。

这是一个非常小的开发系统，没有专门的 IT 资源。它是运行 2012 R2 的单个托管服务器，其所有托管 VM 服务器也运行 2012 R2。还有一些 Windows VM 工作站。

目前有一个自然的活动中断，这使得这是从 TFS2013 迁移到 TFS2017 的好时机。这还将涉及升级其他核心应用程序，例如 SQL Server 和 SharePoint。由于整个开发系统将经历重大转变，同时升级服务器操作系统似乎是正确的做法。所以，几个问题：

1) 将服务器操作系统从 2012 R2 升级到 2016 的决定是否有意义？此时离开 2012 R2 有什么明显的缺点吗？我知道总是有很多潜在的问题，但我希望有一些一般性的更高层次的输入。

2) 在新主机 2016 Hyper-V 中重新启动现有 VM .vhdx 文件是否存在任何重大问题？我的想法是，一旦托管服务器升级，我可以将旧的 TFS 保留在后台，以防 TFS2017 顺利上线出现延迟，并保持对该机器的 SharePoint 安装的访问。

3) 重新启动现有 VM 2012 R2 域控制器（主要和次要）然后将其 AD DS 转移到新的 2016 DC 是否存在任何重大问题？

在初始帖子后添加：

4）托管服务器具有适量的必要配置和应用程序，仅用于充当主机。这包括备份、动态 DNS 管理、UPS 接口等。将主机留在 2012 R2 上而仅将托管服务器升级到 2016 是否是合理的选择？

设置： Hyper-V 2012 R2 主机，主要来宾是带有 SharePoint 的 TFS 单服务器安装（包括用于 TFS 操作的 SQL）

此问题发布在StackExchange SharePoint WRT 服务器的 SharePoint 方面，但由于操作系统和服务器上的其他非 SharePoint 应用程序而发布在这里：

Server 2012 R2, TFS, SQL (for TFS)

问题是服务器 VHD（最初为 100G）已满，我猜这是从上面的列表和 SharePoint 中记录的一个简单问题。

我能够轻松地将 Hyper-V VHD 大小扩展到 120G，但我怀疑问题会再次出现。我想解决根本原因。

上面列出的每个项目（操作系统和应用程序）是否必须对默认设置进行更改以限制其磁盘使用量？在上面的链接中表明 SQL 确实如此，但我还没有找到在 SQL 中查看建议的位置。

以下帖子有许多有用的提示和链接，但我想在这里提出这个问题，以巩固/关注服务器上的基本潜在日志记录问题，否则这些问题似乎工作正常。

Server 2012 R2 系统磁盘填充

释放磁盘空间（WinDirstat 建议在这里作为其他帖子 - 好/安全的想法？）

在下面的解决方案后编辑： SQL .ldf 是一个严重的空间用户，下面#2 中推荐的解决方案解决了这个问题。想要发布一个链接，该链接提供了可以很好地缩小 .ldf 的特定查询命令，以及一个用于查找空间消耗位置的工具的链接。

有关缩小 ldf 文件的一般指导的戴尔支持页面

WinDirStat这对于查找正在使用的空间非常有用。

Hyper-V 主机是 2012 R2，有几个来宾。

我的主要来宾是使用 100G VHD 的 TFS 服务器。我并没有真正密切地跟踪它，并且在某些时候 VHD 达到了 100% 的已用空间。我将大小扩大了 20G，但使用的空间保持在 100%。

因此，我开始尝试通过询问为什么我添加的 20G 没有给我在 VHD 上留下开放空间来了解如何解决这个问题？

赢得 7/8

我无法与物理本地网络上的某些 PC 建立 RDC 连接。我检查了大约 40-50 个超级用户、堆栈溢出、服务器故障和 Microsoft 论坛帖子中存在的所有典型问题：PC 已启动并正在运行，防火墙已打开 [TCP 3389]，我可以 ping PC，我什至可以RDC 出 PC。一些论坛基于操作系统存在损坏等理论提出了一些奇特的解决方案，但下面的比较是在 2 台运行 Win 8 的相同 PC 上进行的，我不认为它们已损坏。我在一个新配置的虚拟机上也有这个，我真诚地怀疑它是否存在操作系统损坏。

所以我终于注意到，在我无法RDC 的 PC 上， 系统属性 > 远程选项卡是不同的（控制面板 > 系统 > 远程设置）。我相信这是我的问题，我还没有找到令人满意的解释它的帖子。

这是我可以RDC 进入的 PC 上的系统属性 > 远程选项卡：

这是我无法RDC 进入的 PC 上的系统属性 > 远程选项卡：

比较时很容易看出两个对话之间的差异；在第二种情况下，远程桌面对话框不存在。在这里很容易看到，对我来说，直到我并排比较 PC 屏幕时才这么清楚。有时，当它不存在时，您不知道缺少什么。

我立即看到两台 PC 之间的唯一区别是带有远程桌面对话的 PC 在 ADDS 中注册。在我将另一台 PC 添加到 ADDS 之前，我认为找出这是否是对话不存在的真正问题会很有用。或者，是否有其他设置可以打开该远程桌面对话？

这表明我缺少 RDC 的一个关键概念。根据我在 RDC 上看到的帖子数量，这可能也是许多其他人的问题。

服务器 2012 R2，思科 RV082

这适用于一个非常小的网络系统，其中 DC 必须定期关闭一天左右。2 个 DC 存在并且也充当 DHCP 服务器。这是一个临时的物理限制，正在解决问题。同时，当 DHCP 服务器不运行时，希望能够插入网络并获得 Internet 访问权限——而不必每次都进入路由器并重新配置它。

是否可以在 DC 离线时为一小组地址使用路由器的 DHCP，并在 DC DHCP 服务器在线时防止其干扰 DC DHCP 服务器？我正在寻找的是一种技术或设置，可确保当 DC 在线并填补该角色时路由器不为 IP 提供服务。

我问这个问题是因为在我对 ADDS/DNS/DHCP 操作的研究中，我认为我读到了由服务器完成所有这些操作并且没有路由器的 DHCP 操作干扰的显着好处。出于这个原因，我关闭了路由器 DHCP，但如果 DC 离线，我需要路由器的 DHCP。我想知道当 DC 在线时是否以及如何在不影响服务器 ADDS/DNS/DHCP 操作的情况下重新打开路由器 DHCP。

服务器 2012 R2

在指定合作伙伴服务器后单击故障转移向导中的下一步时，我收到该错误消息，但我不明白。

在尝试研究如何设置故障转移 DHCP 时，我不明白或发现的一件事是主服务器和故障转移 DHCP 服务器之间范围的名称和范围。

最初我认为故障转移范围应该与常规范围相同，因此我在第二个 DHCP 上将所有内容设置为相同，但显然这是不正确的。然后我使用了不同的名称和不同的范围，但它仍然显示相同的错误。我找不到任何东西来解释我应该设置什么。

有人可以帮我解决吗？

在初始帖子后添加：

我的主 DHCP 服务器上的范围是 192.168.3.100 到 192.168.3.199。

Server 2012 R2 作为 PDC、Hyper-V 服务器和 Win 7/8 工作站

我将我的 PDC 同步到外部时间源。在 PDC 时间方面我的域同步的下一步是什么？我确实有一些我看过的链接： link1，link2

这些好的流程可以遵循，还是有更好的方法可以遵循？

Server 2012 R2、Hyper-V VM-PDC w/AD DS、DNS

我最初有一个事件 ID 12 并成功设置了这篇文章中介绍的时间服务。启动期间不再显示事件 ID 12。但是，我现在看到事件 ID 144 不时重复说

The time service has stopped advertising as a good time source

那么，时间服务是否会重新做广告，或者一旦 ID 144 出现，它是否会“消失直到修复”？

因此我的问题是，我如何检查时间服务是否再次投放广告？

另外，是什么原因导致它停止广告？只是无法时不时地进行外部同步吗？如果我必须做一些事情来解决这个问题，我从哪里开始？

Server 2012 R2（添加第 2 个 DC 之前）

有数量惊人的网页试图解决事件 ID 4013，包括 serverfault 上的这些：link1、link2、link3（尽管最后一篇文章是针对多个 DC 的）。最后一个链接甚至建议破解注册表以关闭此检查，但 Microsoft 强烈建议不要在此链接中的生产网络中这样做。尽管最后一个链接适用于 Server 2003，但我假设并认为该建议仍然适用。

我刚刚在域上创建了第一个 DNS 服务器后遇到了这个错误，我正在尝试在继续之前解决重要的错误。在研究了这个事件 ID 之后，我想问一下一般评论的最后一行：

“此事件将每两分钟记录一次，直到 AD DS 发出初始同步已成功完成的信号。”

这是否真的意味着如果错误在 2 分钟后没有出现问题就解决了，所以我真的可以忽略这个错误，如果它只在服务器必须重新启动/重新启动时发生，例如在 UPS 命令关闭之后， ETC。？还是在某些情况下我真的需要继续寻找问题？

服务器 2012 R2

在提升我的第一个域控制器之后，我正在尝试完成我的 DNS 设置。当我运行配置 DNS 向导时，它要求提供 IP 地址来转发 DNS 查询。我的直接反应是简单地输入网关地址，因为网关会向上转发请求。

这是对的，错的，好的，但不是最佳的解决方案？我注意到它无法解析 FQDN，但网关只是一个路由器，所以我认为这不是问题。

我确实有一些由我的 ISP 提供的 DNS 服务器 IP。除了或选择其中一个 - ISP 地址或网关 IP，我应该使用这些来代替。

谢谢。

服务器 2012 R2，Hyper-V

在研究我的 PDC 时间同步问题（在此serverfault 帖子中注明）时，我在此链接中遇到了此 Microsoft 指南：

“对于配置为域控制器的虚拟机，建议您禁用主机系统和充当域控制器的来宾操作系统之间的时间同步。这使您的来宾域控制器能够从域层次结构中同步时间。要禁用Hyper-V 时间同步提供程序，关闭 VM 并清除集成服务下的时间同步复选框。”

这篇文章的日期是 2013 年，还包括这个注释：

“该指南最近已更新，以反映当前建议仅从域层次结构中同步来宾域控制器的时间，而不是先前建议部分禁用主机系统和来宾域控制器之间的时间同步。”

虽然这看起来很简单，但这是我第一次接触到 Hyper-V 集成服务。它们似乎足够有用。

是否有某些理由不将集成服务安装为“经验法则”？

帖子附录：当我从 VM 的“操作”菜单中单击“插入集成服务设置磁盘”时，虚拟 DVD 已加载。我没有具体说跑。当我稍后准备安装集成服务时，我右键单击 DVD 并选择“安装 Hyper-V 集成服务”，但弹出一个窗口，显示集成服务已经在运行。

现在是否默认安装了集成服务，或者它是一个不那么明显的 VM 设置选择？我在 Hyper-V 中检查了我的所有虚拟机，现在看到它已安装在每个虚拟机上。我想这会使这成为一个“没有实际意义”的问题，除了可能像我这样的其他人不知道这个功能是自动安装的。如果它是自动安装的，为什么要在 VM Actions 菜单下选择安装它？

服务器 2012 R2，Hyper-V

我正在尝试完成设置我的第一个主域控制器。首次提升 DC 后总是出现的警告之一是事件 ID 12 以及其他与时间源相关的事件。

所以我阅读了不同的链接（link1，link2，link3不同意 w/ link4，但 link4 是更新的）。我按照link2的顺序是这样的：

Net Stop W32Time
W32tm /config /syncfromflags:manual /manualpeerlist:"time-nw.nist.gov"
W32tm /config /reliable:yes
Net Start W32Time
W32tm /config /update

我这样做是因为它看起来很简单，现在我的 DC 对它的时间服务似乎“满意”WRT，至少它在启动时不再发出任何警告。

但这并不是很令人满意。我将外部参考分配为 time-nw.nist.gov，但​​是当我在提示符下运行此命令时：

w32tm /stripchart /computer:"time-nw.nist.gov" /samples:5 /dataonly

我发现我的时间差了 +15.xxx 秒。

I also ran "w32tm /resync" but there's still a discrepency.

这对我来说表明外部参考不起作用。但我不明白如何询问 DC 它使用什么作为外部参考。我只知道如何分配它。

还有 DC 托管在 Hyper-V 上的问题。在上面的链接 4 中，微软在注释中这样说：

“该指南最近已更新，以反映当前建议仅从域层次结构中同步来宾域控制器的时间，而不是先前建议部分禁用主机系统和来宾域控制器之间的时间同步。”

那么link2的指导是否正确？但即便如此，我怎么知道它实际上设置正确，为什么仍然存在延迟？当 DC 是 Hyper-V 上托管的虚拟机时，是否有任何新的指导？

谢谢。

赢 8.1，IE 11

我最近对我的内部网络进行了一些更改，突然尝试访问 Bing 时出现错误。我的网络是：

当我将有线或无线连接到无线路由器时，我可以访问 Bing。当我连接到普通路由器时，我收到以下错误消息：

由于每次尝试后我都会在几秒钟内连接，因此我认为该站点没有问题。出于某种原因，我的新网络连接在连接到 Bing 时引入了一些问题。我正在使用新的无线路由器。

该问题仅发生在 Bing 上。我可以很好地连接到这个论坛，以及 MSDN 和所有其他 Microsoft 论坛。

同样，问题仅出在普通路由器的有线连接上。两台路由器都是思科的。

在原始帖子之后添加：该问题与特定站点的关系较小，而更多的是 DNS 服务器仅在部分时间解决的情况。

Server 2012 R2、Server 2012、域控制器角色

在我的域上遇到一些权限问题后，我注意到我的第二个域控制器似乎以某种方式损坏（对不起，命名令人困惑。当我说第二个 DC 时，它实际上被命名为 vswbcdc1）。我在下面包含了一些屏幕截图来解释为什么我认为 DC 已损坏。我之前已将此 DC 设置为操作主机并将所有 FSMO 角色转移给它。svrwbc 上的原始 DC 安装在Server 2012上，如果出现问题，vswbcdc1 上的第二个 DC 安装在Server 2012 R2上。

我认为也许一个可行的解决方案是从其服务器中删除第二个 DC 角色，当我重新添加该角色时问题可能会消失，但我无法将内容转移回原来的 1st DC b/f 删除第二个 DC角色。当我尝试将操作主机转移回来时，我收到了这些屏幕：

在第一个 DC 上，我想将操作主机转移回我的当前操作主机的“错误”。我认为这不太好：

在第 2 个 DC 上，我想从中转移 ops master最初看起来不错，但单击更改后，下面显示的错误面板解释了联系当前 FSMO 角色持有者时存在问题：

但是 fsmo 角色似乎仍然在 2nd DC：

在我将第 2 个 DC 降级并尝试删除 DC 角色后，角色删除因此错误而终止。

所有这一切让我相信 2nd DC 已被破坏，那么最好的行动方案是什么？我的系统非常小，再次设置 AD DS 不会很痛苦，但我想采取最短路径。

我的问题：

1) 是否有“修复”DC 的工具？

2）如果不是，上面的信息是否足以指出我可以进入并手动修复的内容？

3）如果有必要，我可以杀死两个 DC 服务器并重新开始吗？

3a) 所有域信息是否完全驻留在 2 个 DC 服务器上，这样如果我杀死这些 VM 并重建新的 DC，我不会有任何挥之不去的 DC 数据？

谢谢。