Компьютеры домена читают политики с разных контроллеров домена
Выполняя gpresult / r из командной строки, я заметил, что компьютерные лаборатории домена считывают политики с двух контроллеров домена.
Конфигурация компьютера считывается с DC1, который является копией DC2, а конфигурация пользователя считывается с DC2, зная, что DC1 размещен на сайте A, а DC2 размещен на сайте B.
Это странно, потому что этого не происходит с другими отделами или другими лабораториями, и я не уверен, что вызывает это, любая помощь будет оценена, хотя, когда я повторяю сервер входа в систему, он возвращается с DC1.
Похоже, вы не настроили свои сайты и службы Active Directory для определения подсетей и указания, какие подсети находятся на каком сайте.
Вам нужно будет сделать это, чтобы клиенты знали, что им нужно связываться с ближайшим DC.
Microsoft представила новый параметр в Windows 8/2012, чтобы повлиять на это поведение.
Компьютер> Политики> Административные шаблоны> Система> Групповая политика:
«Включить синхронизацию контроллера домена AD / DFS во время обновления политики»
«Включение этого параметра приведет к подключению клиента групповой политики к тому же контроллеру домена для общих ресурсов DFS, который используется для Active Directory».
Кроме того, переменная среды LOGONSERVER показывает контроллер домена, который аутентифицировал учетную запись пользователя. Компьютер мог пройти проверку подлинности на другом контроллере домена. Вы можете использовать nltest / sc_query: domainfqdn, чтобы показать контроллер домена, используемый для аутентификации учетной записи компьютера.
Похоже, что возникла проблема репликации между DC1 и DC2, вызванная моментом создания объекта групповой политики, как сказал Джим Б, который был решен путем выполнения gpupdate / force и перезапуска. Возможно, контроллеру домена требуется больше времени для репликации с сайта A на сайт B, потому что у нас нет сайта и служб, настроенных, как предложил Марк Хендерсон.