有大量關於如何正確管理 Windows 伺服器的管理文獻。但在現實生活中,事情並不總是如你所願地發生。在 Microsoft 的 Windows Server 2003 Administrator's Companion 中,在 1400 多個頁面中,當涉及設定其他網域控制站時,我只能找到一頁。他們讓它聽起來似乎很平常,並且沒有透露太多關於如果「同等」DC 無法複製時會發生什麼。
就目前的具體問題而言,大約一個月前,由於 RAID 控制器損壞,我們的 DC 出現故障。沒有什麼重要的事情值得立即關注,因此重新啟動它被擱置了。一個月後,我們讓 DC 恢復正常運行,一切似乎都正常。第二天,沒有人能夠登入並抱怨“用戶不存在”或者“無法建立信任關係”。在知道我剛剛將宕機的 DC 重新連接到網路後,我立即將其從網路上撤回,並讓每個人重新啟動工作站。之後,交換一切正常,共享變得可用,每個人都可以登入。我讀過可以強制複製的地方,但這意味著將其放回網路上。我不敢將 DC 重新連接到網絡,因為擔心會出現其他問題。 那麼,如果兩個 DC 超過一個月沒有複製,還會遇到哪些其他問題呢?
答案1
根據它們不同步的時間長度,您可能會遇到一種情況:墓碑壽命之後,您開始遇到刪除的物件恢復生命的問題。話雖這麼說,最短預設期限為 60 天,所以如果時間少於該期限,應該沒問題。
AD(以及 DNS 和許多其他服務)處理同步問題的方式是在每次進行變更時遞增序號。因此,如果您一直在使用PRIMARYDC並進行更改,SECONDARYDC則會得到較低的數字並遵循較高的數字。
如果您確實擔心,您可以隨時擦除SECONDARYDC、手動將其從 Active Directory 中刪除、重新映像,然後優雅地將其提升為另一個 DC。我認為您可以安全地將其上線並解決您的 SYSVOL 問題。如果您想變得更加偏執,請在幾小時後進行,這樣在解決 SYSVOL 問題時就不會出現不一致的情況。
編輯SECONDARYDC下面的適配器提出了一個很好的觀點 -如果您選擇走這條路,請確保在擦除之前 沒有分配 FSMO 角色。