Мы используем PowerShell DSC для автоматизации развертывания ряда небольших автономных сред, в этих средах мы развертываем 2 контроллера домена и используем DSC для настройки домена и т. Д. Все это работает нормально, за исключением того факта, что после развертывания и работает, в какой-то момент репликация sysvol между двумя DC перестает работать (или никогда не начинала работать). В журнале видим такую ошибку:
Служба репликации DFS инициализировала SYSVOL по локальному пути F: \ SYSVOL \ domain и ожидает выполнения начальной репликации. Реплицированная папка останется в исходном состоянии синхронизации до тех пор, пока она не будет реплицирована со своим партнером. Если сервер находился в процессе повышения до контроллера домена, контроллер домена не будет рекламировать и функционировать как контроллер домена, пока эта проблема не будет решена. Это может произойти, если указанный партнер также находится в начальном состоянии синхронизации или если на этом сервере или на этом партнере по синхронизации обнаружены нарушения совместного использования. Если это событие произошло во время миграции SYSVOL из службы репликации файлов (FRS) в репликацию DFS, изменения не будут реплицироваться, пока эта проблема не будет решена. Это может привести к рассинхронизации папки SYSVOL на этом сервере с другими контроллерами домена.
Теперь я знаю, как исправить это с помощью ADSIEdit, проблема не в этом. Мы автоматически запускаем развертывание этих сред, потому что нам нужно развернуть множество из них и настроить их одинаково, поэтому я действительно не хочу входить в каждую среду после развертывания, чтобы исправить это. Мы видим эту проблему в каждой среде, которую мы развертываем таким образом, поэтому очевидно, что что-то не так с ее настройкой. Итак, я действительно спрашиваю, есть ли у кого-нибудь идеи, что может вызвать это, или где начать искать, чтобы попытаться найти основную причину.
Развертывание AD довольно простое: сначала мы настраиваем DC1, добавляем некоторые записи DNS, некоторые элементы групповой политики, некоторых пользователей, группы и подразделения, а затем добавляем второй DC. Второй DC получает все эти объекты, поэтому начальная копия домена работает, но после этого ничего в SYSVOL не реплицируется.
редактировать
Мы также видим один экземпляр приведенной ниже ошибки, ID 1202, во время развертывания, что является странным, учитывая, что запрос DC завершился успешно и он может получить исходную копию домена;
Службе репликации DFS не удалось связаться с контроллером домена для доступа к информации о конфигурации. Репликация остановлена. Служба повторит попытку во время следующего цикла опроса конфигурации, который произойдет через 60 минут. Это событие может быть вызвано проблемами подключения TCP / IP, брандмауэра, доменных служб Active Directory или DNS.
Дополнительная информация: Ошибка: 1355 (указанный домен либо не существует, либо с ним невозможно связаться.)
Когда первый контроллер домена повышается, используйте его IP-адрес (не кольцевую проверку) в качестве основного DNS-сервера и поместите петлю в качестве вторичного DNS-сервера.
Когда второй контроллер домена повышается, вам нужно, чтобы его настройки DNS-клиента выглядели следующим образом:
DC1
DC2
Я думаю, это проблема DNS. Вы не должны использовать 127.0.0.1 в качестве первичного DNS на этих машинах, но вместо этого используйте реальный IP-адрес и установите IP-адрес реплики DC в качестве вторичного DNS-сервера. Это похоже на решение, с которым у людей меньше всего проблем. Это проблема, которая обсуждается на протяжении многих лет с различными мнениями, даже Microsoft не дает четкого ответа, см. Это: ссылка на сайт
Вопрос
Каковы рекомендации Microsoft в отношении того, где и сколько DNS-серверов существует? Как насчет настройки параметров DNS-клиента для контроллеров домена и участников?
Ответ
Это зависит от того, кого вы спрашиваете. Мы в MS спорим об этом между собой уже 11 лет.