我有两个域控制器,DC1和DC2.
> DC1具有所有FSMO角色,是Active Directory集成DNS
> DC2是Active Directory集成的DNS,是DHCP服务器. DHCP作用域为客户端分配DNS1到dc1和DNS2到DC2.
> DC1和DC2都是全球目录(GC)
当我关闭dc1以模拟PDC FSMO角色不可用时,会发生此问题.当我使用工作站登录时,在应用计算机设置屏幕上需要很长时间.它最终登录大约3分钟或更短时间.这是一个共同的时间框架吗?
这是预期的行为吗?我从来没有遇到过我实际遇到过这个问题的情况,但是我这样做是为了测试我们网络的可靠性,以防dc1停机几个小时.我的理解一直是,如果你的DHCP作用域中有正确的DNS条目,工作站只会转到第二个DNS条目,如果第一个DNS条目失败.
我还尝试设置工作站DNS以使DNS1进入DC2(仍然打开并运行,DNS2为DC1,我关闭以模拟故障)并且我仍然得到相同的结果,缓慢应用计算机设置.
我重新启用了dc1并将DNS设置更改为原来的状态,XP客户端正常退回.因此,当我关闭拥有FSMO角色的第一个域控制器DC1时会出现一些断开连接,从而导致此缓慢登录问题.
解决方法
您应该有另一个系统,即DC,并且与具有PDC角色的DC也在同一IP子网中.第二个DC应该是具有PDC FSMO角色的DC的直接AD复制伙伴.如果您只有两个DC,它将在推广时成为直接复制品.
例如,如果您只有这两个DC,则第二个DC应该已经是第一个DC(PDC)的直接复制伙伴.您可以通过进入AD站点和子网MMC(在管理工具下)并扩展站点,扩展PDC DC,单击“NTDS设置……”然后检查复制发生到/来自哪个DC来验证这一点(它将显示您在MMC窗口的右侧窗格中).它应该是第二个DC.这表明这两者是直接复制伙伴.
如果你有大量的DC,你可能需要进入AD站点和子网MMC并确定哪个DC是PDC的直接复制伙伴(按照上面的步骤检查每个DC,直到找到与PDC重复的DC) .站点内AD复制比站点间复制(AD站点和子网中定义的两个AD站点之间的复制)更快.
这将允许您在失败的情况下快速将PDC角色抓取到作为直接复制伙伴的DC.
我建议阅读PDC角色提供的一长串功能:
http://technet.microsoft.com/en-us/library/cc780487(WS.10).aspx
>充当域的主要时间源,以保持所有时间同步.
>如果客户端/服务器不同步,则可能会出现严重的身份验证问题
>充当密码解锁和密码尝试失败的最终权限>充当主域浏览器