Существует множество литературы по администрированию, как правильно управлять серверами Windows. Но в реальной жизни не всегда все происходит так, как вы хотите. В Microsoft's Windows Server 2003 Administrator's Companion из более чем 1400 страниц я смог найти только одну страницу, когда речь заходит о настройке дополнительных контроллеров домена. Они заставляют это звучать как нечто нелепое и не раскрывают многого о том, что происходит, если «одноранговые» контроллеры домена не могут реплицироваться.
Возвращаясь к конкретной проблеме, у нас был DC, который вышел из строя около месяца назад из-за неисправного RAID-контроллера. Не было ничего критического, что требовало бы немедленного внимания, поэтому его восстановление было отложено на потом. Месяц спустя мы восстановили DC и запустили его, и все, казалось, было в порядке. На следующий день никто не может войти в систему, жалуясь, что"Пользователь не существует"или«невозможно установить доверительные отношения». Зная, что я только что вернул отключенный DC в сеть, я немедленно отключил его от сети и попросил всех перезапустить рабочие станции. После этого обмен был в порядке, общие ресурсы стали доступны, и все смогли войти в систему. После некоторого плавания в журнале событий выяснилось, что все началось из-за проблем с репликацией в SYSVOL. Я читал, что можно принудительно реплицировать, но это означало бы вернуть его в сеть. Я боюсь возвращать DC в сеть из-за страха, что что-то еще может пойти не так. Итак, с какими еще проблемами можно столкнуться, если два контроллера домена не реплицируются в течение месяца?
решение1
В зависимости от того, насколько долго они не синхронизированы, вы можете столкнуться с ситуацией, когда один из них достигнет своегоНадгробие на всю жизньпосле чего у вас начинаются проблемы с возвращением удаленных объектов к жизни. При этом минимальный срок по умолчанию составляет 60 дней, так что все должно быть в порядке, если прошло меньше времени.
Способ, которым AD (а также DNS и множество других служб) решает проблемы синхронизации, заключается в увеличении серийного номера каждый раз при внесении изменений. Так что если вы использовали PRIMARYDC
и вносили изменения, SECONDARYDC
у вас будет меньший номер, и вы будете откладывать его до большего.
Если вы ДЕЙСТВИТЕЛЬНО обеспокоены, вы всегда можете стереть SECONDARYDC
, вручную вытащить его из Active Directory, пересоздать образ, а затем изящно повысить его до другого DC. Я думаю, что вы можете быть уверены, что можете включить его в сеть и решить свои проблемы с SYSVOL. Если вы хотите быть еще более параноидальным, делайте это после работы, чтобы не получить несоответствий, пока вы решаете SYSVOL.
РЕДАКТИРОВАТЬ Ниже приведено хорошее замечание Adaptr: убедитесь, что на диске не назначены роли FSMO, SECONDARYDC
прежде чем стирать его, если вы решите пойти по этому пути.