Контроллеры домена Windows 2008 R2 и функциональные уровни. Сетевое подключение выглядит следующим образом:
DC03 ------ DC02 ------ DC01(FSMOs)
DC01 содержит все FSMO. DC03, который еще не был продвинут, в настоящее время прекрасно взаимодействует с DC02. Все роли FSMO находятся на DC01. Все сайты, подсети и объекты Site Link правильно настроены для представления сетевой ситуации, показанной выше.
DC03 не может напрямую связываться с DC01.
DCPromo на DC03 в настоящее время не работает, поскольку DCPromo выполняет некоторые тесты прямого сетевого подключения к держателю роли FSMO. Он пытается выполнить привязку LDAP к мастеру RID, но это не удается, и в этот момент DCPromo предполагает, что мастер RID отключен. Но это не офлайн.
Есть ли способ обойти тесты подключения? DC03 в настоящее время отлично синхронизируется с DC02 и может считывать с него всю Active Directory, которую хочет.
Я думал о выполнении установки с носителя, но мне хотелось бы получить больше подтверждения, что это действительно работает, прежде чем я попробую, и я не вижу никаких доказательств того, что установка IFM пропускает тесты подключения, которые выполняет обычный DCPromo.
PS - Без перемещения ролей FSMO.
Кажется, что RID Master и эмулятор PDC должны иметь возможность напрямую связываться с все Контроллеры домена в домене, хотя мне не удалось найти это точно в этих терминах.
Эта статья TechNet похоже на это намекает.
Разместите роли на контроллерах домена, к которым могут получить доступ компьютеры, которым необходим доступ к данной роли, особенно в сетях, которые не полностью маршрутизированы. Например, чтобы получить текущий или резервный пул RID или выполнить сквозную аутентификацию, всем контроллерам домена необходим сетевой доступ к держателям ролей RID и PDC в их соответствующих доменах.
Эта другая статья также говорит:
Контроллеры домена на сайтах C и D не могут получить доступ к хозяину RID на сайте A, чтобы получить исходный пул RID после установки Active Directory и обновить пулы RID по мере их истощения.
Хотя эта статья делает непрозрачную ссылку на мост между ссылками на сайты.
Насколько я могу судить, мост между ссылками на сайты не применяется в случаях выдачи RID или услуг, предлагаемых эмулятором PDC, таких как неудачная переадресация аутентификации или синхронизация времени, поскольку они не полагаться на репликацию и мосты связей сайтов предназначены только для репликации. Должна быть прямая связь с контроллерами домена с этими ролями.
Если убрать «PS» в конце вопроса, я могу предложить решение :)