我有这个确切的问题事件ID 4013:“DNS服务器正在等待Active Directory域服务(AD DS)发信号…”
两个DC和两个DNS服务器,除了我的问题是多一点涉及。 所以,如果我重新启动我的域,我不能login到我的域或访问资源,直到DC完全启动,AD能够执行初始同步。
这是恼人的,但我的问题是延长,因为在Server 2008我的networkingconfiguration文件更改为“不明”,因为DNS未加载,这个“未识别”configuration文件打开防火墙阻止DC / DNSstream量。 我的networking完全无法访问,直到我重新启动其中一台DC / DNS服务器或禁用configuration文件上的防火墙。
当然,我可以通过禁用该configuration文件上的防火墙来解决这个问题,但是真的没有其他办法解决这个问题吗? 这似乎是一个巨大的devise监督。
您需要configuration域控制器,使得DC1上的主DNSparsing器为DC2,DC2上的主DNSparsing器为DC1,然后在DC1和DC2上都将127.0.0.1设置为辅助DNSparsing器,最后不要重新启动他们在同一时间。 交错重新启动。
以下是有关此问题的Microsoft Best Practices Analyzer文章的摘录:
环回IP地址应configuration为每个活动networking适配器上的一个DNS服务器,但不能作为第一个DNS服务器。
如果回送IP地址是DNS服务器列表中的第一个条目,则Active Directory可能无法find其复制伙伴。
在DNS服务器列表中包含自己的IP地址可以提高性能并提高DNS服务器的可用性。 但是,如果DNS服务器也是一个域控制器,并且它只指向自己,或者指向名称parsing首先自己,这可能会导致启动过程中的延迟。 因此,如果服务器也是域控制器,请在configuration适配器上的环回地址时小心。 环回地址应仅configuration为域控制器上的辅助或辅助DNS服务器。
是的,我知道微软已经做了一些工作来缓解复制“孤岛”问题,但这仍然是微软今天的最佳实践build议。
人们仍然对AD感到惊讶。 它已经存在了十三年了,它的基本机制没有改变。 当然,在这里和那里做了一些调整,但是仍然需要一些基础知识。
是的,微软已经devise出了DNS孤岛问题,但是为了使Active Directory域服务服务成功启动,该服务必须首先能够找出哪些服务器支撑域和父林。 毫不奇怪,该位置是通过服务位置(SRV)logging…在DNS中发现的。
所以,如果你无法获得一个折腾的DNS副本,你将无法启动AD,所以你将无法启动Active Directory集成DNS。 就像Ryan说的那样,把你的第一个DNSparsing器指向另一个DC,然后把你的第二个DNSparsing器指向第三个DC,或者在本地。 就我个人而言,在指向自己之前,我会与两个远程DC一起去,因为随后的DNS服务器条目只能在没有响应的情况下才能使用。
至于PDC模拟器FSMO,我不太明白那里发生了什么。 除了低级别的服务,PDCe在时间同步方面只有一个特殊的用途。 域中的非PDCe DC从PDCe获取时间,并且可以将此DCconfiguration为使用RTS,或从根域的PDCe获取时间。
有一种方法可以真正解决这类问题,就是执行涉及AD的灾难恢复练习。 我build议尝试一下,因为它会迫使你理解DNS中的_msdcs区域,SYSVOL复制,AD复制监视(使用REPADMIN)等等。
</咆哮>