При добавлении нового DC (2012 R2) в домен (2008) все идет хорошо, за исключением того, что он никогда не объявляется как DC. Проведя небольшую диагностику, я обнаружил, что репликация ntfrs никогда не запускается, следовательно, sysvol никогда не реплицируется, что не позволяет DC работать. Просмотр событий говорит о 3 возможных причинах:
[1] FRS не может правильно разрешить DNS-имя xxxx.local с этого компьютера. [2] FRS не запущен на xxxx.local. [3] Информация о топологии в доменных службах Active Directory для этой реплики еще не реплицирована на все контроллеры домена.
Глядя на [1] и [2], мне совершенно ясно, что это не так, но 3, скорее всего, является причиной. Проверив все контроллеры домена, я обнаружил, что один из них не работает. Мой вопрос довольно прост. Если какой-либо из контроллеров домена не работает, я никогда не смогу добавить новый контроллер домена в домен? Есть ли обходной путь без предварительного исправления проблемного контроллера домена? Какой-то способ отключить неисправный контроллер домена, не понижая его временно.
ОБНОВЛЕНИЕ + ИСПРАВЛЕНИЕ:
Если какой-либо из контроллеров домена выйдет из строя, я никогда не смогу добавить новый контроллер домена в домен?
Да. Мне нужно было починить неисправный DC, прежде чем я смогу добавить новый.
репликация ntfrs никогда не запускается
DNS и LDAP блокировались одним из сайтов. В качестве быстрого решения я создал соединение между разными сайтами для репликации. Вместо того, чтобы напрямую перейти к главному PDC, я создал соединение на расстоянии одного прыжка. Это заняло больше времени, но сработало, пока некоторые люди работали над открытием требуемых портов. Это было трудно определить с самого начала, потому что весь процесс установки и настройки нового DC на Ws2012 прошел нормально, включая всю репликацию (кроме sysvol), но по какой-то причине он не пытался автоматически использовать другой DC для синхронизации SYSVOL, поскольку не мог синхронизироваться с PDC напрямую.
решение1
Если какой-либо из контроллеров домена выйдет из строя, я никогда не смогу добавить новый контроллер домена в домен?
Недоступный контроллер домена не обязательно препятствует добавлению нового контроллера домена, если только неработающий контроллер домена не обеспечивает связь между новым контроллером домена и остальной частью домена.
Есть ли обходной путь без предварительного устранения неполадок в DC?
Учитывая, что это не совсем та проблема, с которой вы столкнулись, я отвечу по-другому. Ваши первые шаги по устранению неполадок:
Проверьте, что все службы Active Directory работают и не выдают ошибок как на этом сервере, на котором возникла проблема, так и по крайней мере на одном из контроллеров домена, с которым он связан. (Если вы не понимаете, что я имею в виду, когда говорю «связан», просто продолжайте читать, я скоро дойду до этого.)
Проверьте DNS. Ваш новый контроллер домена должен иметь другой контроллер домена (к которому он может подключиться) в качестве своего основного DNS-сервера, а себя в качестве вторичного или третичного DNS-сервера. Убедитесь, что он настроен именно так, и убедитесь, что вы действительно можете подключиться к другим настроенным DNS-серверам.
Проверьте связи между контроллерами домена. Приложение GUI для этого называется Active Directory Sites and Services и будет выглядеть примерно так, как на снимке экрана ниже. Вам нужна связь между новым контроллером домена и по крайней мере одним другим контроллером домена. Она должна быть создана автоматически, но вы можете создать ее вручную, если это необходимо.
После этих основных шагов пришло время покопаться в журналах событий, dcdiag и других инструментах диагностики/устранения неполадок Active Directory, что, похоже, выходит за рамки вашего «простого вопроса».